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本 书 内 容 简 介 


本 书 力图 通过 对 我 国 银行 业 信 息 安 
全 最 新 实践 的 介绍 ， 让 读者 对 我 国 银行 
业 在 信息 安全 的 管理 思路 、 管 理 方法 、 
管理 内 容 及 使 用 技术 等 方面 有 一 个 清晰 
和 全 面 的 认识 。 全 书 分 为 四 篇 ， 分 别 介 
绍 了 我 国 银行 业 信息 安全 的 发 展现 状 ， 
分 析 了 银行 业 面临 的 威胁 ， 总 结 了 我 国 
银行 业 在 信息 安全 建设 上 取得 的 巨大 成 
就 。 从 信息 安全 管理 角度 出 发 ， 将 银行 
信息 安全 管理 体系 作为 一 个 整体 ， 系 统 
地 分 析 它 所 包含 的 相关 内 容 ， 并 给 出 了 
银行 业 信息 安全 管理 体系 参考 的 框架 结 
构 ; 从 技术 的 角度 出 发 ， 从 作用 方式 和 
作用 层次 两 个 维度 对 我 国 银行 业 采 用 的 
各 种 信息 安全 技术 进行 了 梳理 和 总 结 。 
通过 具体 的 案例 ， 使 读者 更 加 深刻 地 理 
解 银行 业 信息 安全 技术 与 管理 体系 ， 对 
我 国 银行 业 信息 安全 实践 有 一 个 直观 的 
认识 。 

本 书 主要 供 银行 信息 科技 人 员 阅 
读 ， 也 可 供 从 事 信 息 安全 的 工作 人 员 和 
究 人 员 参 考 ， 还 可 作为 信息 安全 与 金 
融 类 专业 的 教学 参考 书 。 
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信息 化 是 推动 经 济 社会 变革 的 重要 力量 。 坚 持 走 中 国 特色 的 新 型 工业 化 、 信 息 化 、 
城镇 化 、 农 业 现代 化 道路 ， 是 党 中 央 立 足 全 局 、 放 眼 未 来 、 与 时 俱 进 的 战略 决策 。2014 
年 2 月 27 日 ， 中 央 网 络 安全 和 信息 化 领导 小 组 的 成 立 ， 更 加 体现 了 中 央 保 障 网 络 安全 、 
推动 信息 化 发 展 、 维 护 国家 利益 的 决心 。 银 行业 作为 国家 经 济 体系 的 重要 行业 之 一 ， 是 
信息 化 的 重要 推动 主体 、 参 与 主体 和 受益 主体 。 银 行业 持之以恒 地 贯彻 落实 国家 信息 化 
战略 ， 不 仅 是 推动 加 快 我 国信 息 化 进程 的 必然 要 求 ， 也 是 银行 业 改 革 发 展 、 转 型 升级 和 
更 好 服务 实体 经 济 的 内 在 需求 。 

近年 来 ， 我 国 银行 业 审时度势 、 积 极 作 为 ， 坚 持 基 础 建设 与 科技 创新 并 重 、 提 升 服 
务 与 保障 安全 并 举 的 科学 发 展 导 向 ， 以 推进 信息 化 为 契机 ， 调 整 经 营 理念 、 优 化 经 营 机 
制 、 完 善 服 务 模式 ， 在 服务 手段 信息 化 、 管 理 模式 信息 化 、 信 息 安 全 保障 等 方面 取得 积 
极 进 展 ， 推 动 了 银行 业 的 核心 竞争 力 、 市 场 适应 力 和 贴身 服务 能 力 的 进一步 提升 。 一 是 
服务 手段 信息 化 发 展 迅 速 。 电 子 银行 、 自 助 银行 、 智 能 支付 终端 等 信息 化 服务 渠道 日 渐 
普及 ， 使 得 金融 服务 覆盖 面 更 加 广泛 、 服 务 方式 更 加 便捷 、 服 务 产 品 更 加 丰 寅 。 二 是 管 
理 模 式 信息 化 迈 出 实质 性 步伐 。 注 重 依 托 核心 数据 库 、 运 用 先进 数据 挖 气 分 析 工 具 ， 推 
进 银 行经 营 决策 逐步 智能 化 ， 风 险 管理 日 趋 精 细 化 ， 产 品 创 新 逐渐 体现 个 性 化 ， 银 行业 
经 营 管理 信息 化 水 平 不 断 提 升 。 三 是 信息 安全 保障 取得 积极 进展 。 银 行业 信息 安全 越 来 
越 受 重视 ， 相 关 科 技 基 础 设施 建设 步伐 加 快 ， 多 层次 、 立 体 化 、 全 方位 的 信息 安全 保障 
体系 正在 逐步 形成 。 

当然 ， 我 们 也 应 该 清醒 地 认识 到 ， 银 行业 信息 化 面临 着 复杂 的 内 外 部 环境 ， 核 心 技 
术 受 限 、 网 络 安全 威胁 、 隐 私 保护 和 信息 保密 等 挑战 将 长 期 存在 ， 银 行业 自身 认识 不 尽 
到 位 、 技 术 储备 不 够 充分 、 资 源 投 入 相对 不 足 、 过 度 依 赖 外 包 等 问题 仍 较 为 突出 ， 针 对 
银行 业 特 殊 需 求 的 信息 化 产品 、 工 具 和 方法 还 比较 单一 ， 缺 乏 应 对 复杂 需求 的 灵活 创新 
能 力 。 总 的 看 来 ， 银 行业 信息 化 还 有 很 长 的 路 要 走 ， 信 息 科 技 风 险 将 成 为 当前 和 未 来 较 
长 时 期 银行 业 的 重要 风险 领域 之 一 。 

银行 业 信 息 化 既 不 能 因为 成 绩 而 骄 做 自满 ， 也 不 可 因为 差距 而 专 自 菲 薄 ， 更 不 可 因 
NV 
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为 困难 而 县 首 县 尾 。 各 银行 业 金 融 机 构 要 勇于 直面 困难 、 主 动 迎接 挑战 ， 坚 决 按照 国家 
言 息 化 总 体 战略 部 署 ， 切 实 坚 持 “ 自 主 可 控 、 持 续 发 展 、 科 技 创 新 ”的 基本 方向 ， 紧 紧 
抓 住 信息 化 发 展 机 遇 ， 推 动 信息 服务 和 信息 安全 再 上 新 台阶 。 一 是 借助 信息 化 推动 银行 
业 金 融 机 构 治 理 能 力 现代 化 。 积 极 引 入 先进 的 信息 科技 治理 和 管理 理念 ， 运 用 现代 信息 
技术 缓解 治理 中 的 信息 不 对 称 问 题 ， 推 动 流程 银行 建设 ,提高 治理 有 效 性 。 同 时 ， 理 顺 
言 息 化 建设 的 体制 机 制 ， 加 快 信息 化 建设 进程 ， 为 银行 业 转型 发 展 提 供 有 力 保障 。 二 是 
依托 信息 化 推动 金融 服务 智 意 化。 要 充分 利用 互联 网 、 移 动 计算 莲 劲 发 展 的 大 环境 ， 积 
极 应 用 大 数据 等 新 兴 技 术 ， 创 新 思维 模式 ， 充 分 发 挥 金融 数据 和 信息 的 价值 ， 研 发 智能 
化 、 个 性 化 、 便 捷 化 的 产品 和 服务 ， 灵 活 响应 客户 诉求 ， 努 力 改善 客户 体验 ， 尽 力 发 掘 
潜在 客户 需求 ， 增 加 产品 和 服务 的 吸引 力 ， 培 育 更 为 坚实 的 客户 基础 ， 形 成 新 的 业务 和 
利润 增长 点 。 三 是 以 自主 创新 增进 安全 可 控 能 力 。 要 坚持 市 场 起 决定 作用 的 基本 方针 ， 
探索 形成 以 研发 创新 支持 应 用 推广 、 以 市 场 应 用 激发 创新 动力 的 良性 正 反 馈 机 制 。 推 动 
应 用 自主 创新 信息 技术 ， 建 立 自 主创 新 信息 技术 落地 银行 业 的 配套 机 制 ， 力 争 金融 领域 
关键 信息 技术 自主 创新 占 比 逐步 提高 ， 不 断 提 升 信息 系统 的 开放 性 、 灵 活性 和 整体 集约 
化 水 平 。 四 是 利用 信息 技术 强化 行业 协作 。 要 加 强 银行 业 信 息 化 建设 的 统筹 规划 ， 促 进 
言 息 化 资源 的 集约 共享 ， 提 升 数 据 ( 灾 备 ) 中 心 布局 的 合理 性 ， 增 强 同业 协同 协作 ， 共 
同 应 对 外 包 集 中 度 等 风险 。 

为 更 好 地 推进 落实 银行 业 信 息 化 战略 ， 由 银行 业 信息 科技 风险 管理 高 层 指导 委员 会 
指导 推动 ， 编 著 了 “银行 业 信 息 化 丛书”( 简 称 “ 从 书 ”)。 这 套 “ 从 书 ” 和 致力 于 挖 气 、 
研究 、 总 结 、 提 炼 和 传播 国内 外 信息 化 最 佳 实践 、 宝 贵 经 验 和 最 新 成 果 ， 内 容 涵盖 银行 


业 信 息 科技 治理 与 管理 、 信 息 系 统 开发 与 应 用 创新 、 信 息 安全 、 基 础 设施 与 运行 维护 、 
言 息 科技 监管 等 主要 领域 ， 可 为 银行 业 信息 科技 人 才 培 养 提供 一 些 基础 性 、 前 脆性 、 实 
用 性 的 知识 和 信息 。 


展望 未 来 ， 银 行业 信息 化 任务 艰巨 、 时 间 紧 迫 。 希望 银行 业 在 有 关 各 方 支持 下 ， 推 
动 信息 化 工作 更 加 积极 主动 、 规 范 有 效 、 科 学 前 瞻 ， 为 我 国 银行 业 持 续 健康 发 展 、 提 升 
服务 水 平 提供 坚实 的 支撑 ,为 增强 国家 网 络 安全 保障 能 力 、 提 升 信息 化 建设 水 平 提供 有 
力 支 持 ， 为 贯彻 落实 创新 驱动 发 展 战 略 、 实 现 中 华 民 族 伟 大 复兴 的 中 国 梦 做 出 积极 
贡献 。 


= 
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自 改 革 开 放 以 来 ， 我 国 银行 业 飞 速 发 展 ， 取 得 了 丰硕 的 成 果 。 随 着 信息 技术 的 迅猛 
发 展 ， 银 行业 对 信息 系统 的 依赖 也 日 益 加 重 ， 银 行 信息 化 将 成 为 我 国 银行 参与 国际 竞争 
的 重要 手段 。 目 前 ， 全 国 性 股份 制 商业 银行 基本 完成 了 数据 大 集中 工程 ， 建 设 完成 了 新 
一 代 综 合 业务 处 理 系统 。 随 着 银行 业 改 革 与 创新 步伐 的 持续 加 快 ， 金 融 服 务 水 平和 服务 
能 力 将 进一步 提高 ， 银 行 的 业务 发 展 将 会 越 来 越 依赖 信息 系统 。 因 此 ， 信 息 系统 的 安全 
稳定 运行 已 经 成 为 银行 业务 发 展 的 必要 保障 。 

银行 业 作为 我 国信 息 化 前 沿 的 关键 核心 行业 ， 其 信息 安全 形势 和 自主 可 控 体 系 一 直 
是 行业 建设 的 重点 ， 而 银行 业 的 信息 安全 也 日 益 受 到 社会 的 关注 。 我 国 银行 业 的 信息 化 
建设 虽然 成 绩 斐然 ， 信 息 安 全 水 平 也 在 不 断 提 高 ， 但 也 必须 清醒 地 看 到 ， 当 前 针对 银行 
业 的 网 络 攻击 行为 还 在 不 断 增加 ， 信 息 技 术 固 有 的 安全 隐患 也 越发 突显 出 来 ， 如 自然 灾 
、 病 毒 攻击 、 人 员 操 作 失 误 等 。 特 别 是 目前 银行 业 在 向 互联 网 和 移动 互联 网 方向 快速 
转型 ， 网 络 安全 形势 非常 严峻 ， 针 对 银行 业 的 网 络 攻击 事件 频 发 ， 近 几 年 银行 业 的 网 络 
犯罪 数量 急剧 攀升 ， 银 行业 已 经 成 为 主要 的 攻击 目标 。 为 了 保证 银行 业务 的 正常 运营 ， 
建立 一 个 完整 的 、 稳 定 的 信息 安全 防护 机 制 ， 已 逐渐 成 为 银行 业 信息 技术 发 展 的 一 个 重 
要 课题 。 

当前 ， 云 计算 时 代 的 金融 信息 安全 的 形态 正 发 生 着 变化 ， 信 息 安全 问题 时 刻 威胁 着 
国家 安全 ， 银 行业 作为 国家 重要 信息 系统 的 一 部 分 ， 其 信息 安全 已 上 升 到 国家 战略 高 
度 。 国 务 院 、 公 安 部 、 人 民 银 行 、 银 监 会 等 政府 部 门 通力 合作 ， 已 经 逐渐 形成 完整 的 信 
息 安 全 规范 及 管理 体系 ， 建 立 和 完善 了 与 银行 业 信息 化 发 展 相 适应 的 信息 安全 保障 体 
系 ， 满 足 银行 业 业 务 发 展 的 安全 性 要 求 ， 保 证 信息 系统 和 相关 基础 设施 功能 的 正常 发 
挥 ， 有 效 防范 、 控 制 和 化 解 信息 技术 风险 ， 增 强 信息 系统 安全 预警 、 应 急 处 置 和 灾难 恢 
复 能 力 ， 保 障 数据 安全 ， 显 著 提 高 了 银行 业 业 务 持续 运行 保障 水 平 。 

为 了 进一步 贯彻 合 规 、 安 全 的 管理 运营 理念 ， 满 足 国 家 部 委 、 主 管 部 门 和 监管 机 构 
的 要 求 ， 提 升 信息 科技 风险 管理 和 防 控 能 力 ， 银 行业 应 基于 现 有 的 信息 安全 管理 水 平 ， 
积极 开展 信息 安全 技术 及 管理 体系 的 落地 建设 工作 ， 优 化 升级 整体 信息 安全 管理 和 技术 
Ml 
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体系 架构 ， 完 善信 息 科技 风险 管理 体系 和 业务 连续 性 管理 体系 ,全 面 提升 信息 安全 管理 
水 平 ， 这 必 将 有 效 推动 银行 业 信息 化 建设 工作 ， 为 银行 业 业 务 战略 转型 提供 坚实 的 技术 
基础 和 安全 保障 ， 维 护 国家 金融 安全 。 


ee 


中 国民 生 银 行 董事 长 ” 洪 崎 
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本 书 作为 “银行 业 信息 化 丛书 ”中 的 一 本 ， 对 我 国 银行 业 信息 安全 技术 与 管理 体系 
进行 了 分 析 和 探讨 ， 力 图 通过 对 我 国 银行 业 信 息 安 全 最 新 实践 的 介绍 ， 让 读者 对 我 国 银 
行业 在 信息 安全 的 管理 思路 、 管 理 方法 、 管 理 内 容 及 使 用 的 信息 安全 技术 等 方面 有 一 个 
清晰 和 全 面 的 认识 。 

为 了 与 我 国 银行 业 当前 的 实际 情况 紧密 结合 ， 本 书 在 编写 过 程 中 ， 分 别 调研 了 大 型 
股份 制 银 行 、 城 市 商业 银行 及 农村 商业 银行 等 几 种 不 同类 型 的 典型 银行 。 本 书 编写 组 从 
2014 年 11 月 开始 ， 经 过 准备 、 调 研 、 编 写 、 完 善 、 评 审 、 修 订 等 阶段 ， 历 经 7 个 月 的 
时 间 ， 最 终于 2015 年 5 月 完成 了 本 书 。 全 书 共 分 为 四 篇 : 

第 一 篇 为 现状 篇 ， 主 要 介绍 了 我 国 银行 业 信息 安全 的 发 展现 状 ， 分 析 了 银行 业 面临 
的 威胁 ， 总 结 了 我 国 银行 业 在 信息 安全 建设 上 取得 的 巨大 成 就 。 

第 二 篇 为 管理 篇 ， 从 信息 安全 管理 角度 出 发 ， 将 银行 业 信 息 安 全 管理 体系 作为 一 个 
整体 ， 系 统 地 分 析 了 银行 信息 安全 管理 体系 所 包含 的 相关 内 容 ， 并 给 出 了 银行 业 信息 安 
全 管理 体系 参考 的 框架 结构 。 在 此 基础 上 ， 对 信息 安全 管理 的 各 个 组 成 模块 进行 了 详细 
介绍 ， 具 体 包 括 信 息 安全 方针 、 信 息 安全 组 织 、 信 息 安 全 制度 、 信 息 安 全 运作 、 信 息 安 
全 技术 。 其 中 信息 安全 运作 又 包括 信息 安全 风险 管理 、 信 息 安 全 检查 、 信 息 安 全 监控 、 
信息 安全 事件 管理 、 业 务 连续 性 与 灾难 恢复 管理 、 信 息 安 全 审计 等 内 容 。 

第 三 篇 为 技术 篇 ， 从 作用 方式 和 作用 层次 两 个 维度 对 我 国 银行 业 采 用 的 各 种 信息 安 
全 技术 进行 了 梳理 和 总 结 。 从 作用 方式 上 根据 WPDRRC 模型 可 将 信息 安全 技术 划分 为 
预警 、 保 护 、 检 测 、 响 应 、 恢 复 和 反击 六 类 ; 而 从 作用 层次 上 ， 可 将 信息 安全 技术 分 为 
面向 物理 安全 、 网 络 安全 、 主 机 安全 、 应 用 安全 和 数据 安全 共 五 个 层面 , 由 此 提出 了 基 
于 WPDRRC 的 层次 技术 模型 ， 并 以 此 为 基础 对 信息 安全 技术 展开 了 论述 。 

第 四 篇 为 实践 篇 ， 通 过 具体 的 案例 ， 对 我 国 银行 业 信 息 安 全 管理 实践 进行 了 详细 的 
介绍 ， 帮 助 读者 对 我 国 银行 业 信息 安全 实践 有 一 个 直观 的 认识 。 具 体内 容 包 括 某 股份 第 
商业 银行 安保 平台 建设 实例 、 基 于 大 数据 的 网 络 安全 态势 实践 和 同城 双 中 心 灾 备 建设 
实例 。 
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本 书 力求 在 下 述 几 个 方面 取得 一 定 的 突破 : 

1) 通用 性 : 在 编写 本 书 的 过 程 中 ， 我 们 广泛 参考 了 国际 国内 相关 标准 、 法 规 、 指 
南 ， 与 主流 的 标准 规范 保持 了 一 致 ， 具 有 很 好 的 通用 性 。 

2) 结构 化 : 无 论 是 信息 安全 技术 ， 还 是 信息 安全 管理 ， 其 主要 内 容 均 以 结构 化 的 
方式 呈现 ， 并 由 此 提出 了 信息 安全 管理 的 参考 框架 和 信息 安全 技术 模型 ， 使 读者 能 够 从 
整体 上 对 银行 业 信息 安全 工作 进行 把 握 。 

3) 全 面 性 : 本 书 力求 涵盖 银行 业 信息 安全 管理 与 技术 的 方方面面 。 

4) 实践 性 : 本 书 以 银行 业 实 际 为 基础 ， 通 过 逻辑 梳理 ， 又 反 过 来 指导 实践 。 为 了 
更 有 效 地 反映 银行 当前 信息 安全 实践 ， 本 书 专门 添加 了 实践 篇 ， 对 银行 业 信息 安全 进行 
了 更 为 深入 的 介绍 。 

本 书 的 具体 编写 工作 由 中 国民 生 银 行 承担 ， 由 洪 崎 、 林 云 山 、 牛 新 庄 、 穆 新 宇 、 
晓 强 、 宋 涛 、 李 吉 慧 、 张 维 华 、 袁 丽 欧 、 钱 伟 明 编著 。 在 编写 过 程 中 ， 得 到 了 中 国民 生 
银行 各 级 领导 的 高 度 重 视 和 大 力 支持 ， 提 出 了 大 量 实质 性 修改 意见 ， 在 此 对 他 们 的 辛勤 
付出 表示 感谢 ! 同时 ， 感 谢 毕 马 威 公司 的 蒋 辉 相 、 崔 钢 、 首 腾飞 ， 北 京 国 形 公司 的 姜 
强 、 汤 志 刚 、 董 芸 着 等 同志 对 本 书 的 结构 和 内 容 方 面 提供 的 大 量 带 助 ! 感谢 中 国 建设 银 
行 、 中 国 邮 政 储 蕾 银行、 上海 浦东 发 展 银行 、 中 信和 银行 和 江南 农村 商业 银行 提供 的 大 量 
资料 ! 感谢 中 国 工商 银行 、 中 国 农业 银行 、 中 国 银行 、 中 国 建设 银行 、 华 夏 银行 在 本 从 
书评 审 中 提出 的 宝贵 建议 ! 在 本 书 的 编写 过 程 中 ， 还 参阅 了 大 量 文献 资料 ， 在 此 向 这 些 
文献 资料 的 原作 者 表示 衷心 感谢 ! 

由 于 银行 业 信息 安全 工作 本 身 的 复杂 性 和 编者 水 平 所 限 ， 书 中 难免 存在 下 漏 、 不 足 
其 至 错误 ， 县 请 读者 不 音 赐教 。 
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随 着 我 国 银行 业 的 发 展 壮大 与 信息 技术 的 不 断 完善 ， 信 息 安 全 在 银行 信息 化 建 
设 的 进程 当中 扮演 着 越 来 越 重 要 的 角色 。 本 篇 主要 讲述 了 我 国 银行 业 及 信息 技术 的 
发 展 状况 ， 在 此 基础 上 ， 对 我 国 银行 业 信息 安全 的 发 展现 状 进 行 了 分 析 ， 痢 析 了 我 
国 银行 业 在 信息 安全 建设 上 取得 的 巨大 成 就 。 


第 1 章 概述 
第 2 章 银行 业 信息 安全 发 展现 状 


第 工 章 
概述 


改革 开放 以 来 ， 我 国 银行 业 飞速 发 展 ， 取 得 了 丰硕 的 成 果 ， 银 行业 信息 化 建设 经 
过 近 三 十 年 的 发 展 ， 已 经 打下 了 坚实 的 基础 ， 并 在 当今 的 互联 网 时 代 继 续 呈 现 快速 
发 展 的 势头 。 目 前 ， 全 国 性 股份 制 商 业 银行 基本 完成 了 数据 大 集中 工程 ， 建 设 完 成 
了 新 一 代 综 合 业 务 处 理 系统 。 银 行 改 革 与 创新 的 步伐 持续 加 快 ， 金 融 服 务 水 平和 服务 
能 力 进一步 提高 ， 银 行 的 业务 发 展 越 来 越 依赖 信息 系统 ， 信 息 系统 安全 稳定 已 经 成 为 银 
行业 务 发 展 的 必要 保障 。 我 国 银行 业 的 信息 化 建设 虽然 成 绩 斐然 ， 信 息 安全 水 平 也 在 不 
断 提高 ， 但 也 必须 清醒 地 看 到 ， 面 对 当前 和 未 来 金融 业 的 发 展 需要 ， 银 行业 在 加 快 信息 
化 发 展 的 同时 还 要 不 断 加 强 信息 安全 的 建设 ， 保 证 银行 业务 的 顺利 开展 。 本 章 主要 讲述 
了 我 国 银行 业 发 展 取得 的 成 就 、 银 行 信息 技术 的 发 展 状况 ， 并 对 我 国 银行 业 信息 安全 进 
行 了 概述 。 


1.1 我 国 银行 业 取 得 的 丰硕 成 果 


改革 开放 30 多 年 来 ， 我 国 银行 业 不 断 探 索 金 融 发 展 模式 ， 逐 渐 按 照 银 行业 客观 发 
展 规 律 进 行 风险 监管 ， 取 得 了 丰硕 的 成 果 。30 多 年 来 ， 在 党 中 央 、 国 务 院 的 正确 领导 
下 ， 我 国 银行 整体 实力 持续 增长 ， 抗 风险 能 力 不 断 增强 ， 公 司 治理 状况 明显 改善 ， 服 务 
能 力 和 水 平日 次 提 升 ， 各 类 机 构 协 调 均衡 发 展 ， 银 行业 监管 有 效 性 不 断 提 高 。 


1.1.1 资产 增长 速度 迅猛 


根据 中 国 银行 业 监督 管理 委员 会 (以 下 简称 银监会 ) 发 布 的 2014 年 度 监管 统计 数 
据 显 示 ， 我 国 银行 业 资产 和 负债 规模 稳步 增长 ， 截 至 2014 年 12 月 末 ， 我 国 银行 业 金 融 
机 构 境 内 外 本 外 币 资产 总 额 为 172. 3 万 亿 元 ， 同 比 增长 13. 87% 。 其 中 ， 大 型 商业 银行 
资产 总 额 71.0 万 亿 元 ， 占 比 41.21% ， 同 比 增长 8.25% ; 股份 制 商业 银行 资产 总 额 
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31. 4 万 亿 元 ， 占 比 18.22% ， 同 比 增长 16. 50% 。 

银行 业 金融 机 构 境 内 外 本 外 币 负债 总 额 为 160.0 万 亿 元 ， 同 比 增 长 13.35% 。 其 
中 ， 大 型 商业 银行 负债 总 额 65.7 万 亿 元 ， 占 比 41.06% ， 同 比 增长 7. 44% ; 股份 制 商 
业 银 行 负债 总 额 29.5 万 亿 元 ， 占 比 18. 44% ， 同 比 增长 16. 26% 。 


1.1.2 国际 化 步伐 加 快 


在 全 球 经 济 一 体 化 背景 下 ， 商 业 银行 要 面 对 来 自 全 球 同行 的 竞争 ， 我 国 各 银行 机 
构 均 采 取 了 积极 主动 的 应 对 策略 ， 通 过 “走出 去 ”的 方式 ， 投 入 到 全 球 金 融 竞争 的 
浪潮 当中 。 以 中 国 工 商 银行 为 例 ， 通 过 持续 努力 和 稳健 发 展 ， 它 已 经 迈 入 世界 领先 
大 银行 行列 ， 拥 有 优质 的 客户 基础 、 多 元 的 业务 结构 、 强 劲 的 创新 能 力 和 市 场 竞 争 
力 。 它 的 业务 跨越 五 大 洲 ， 境 外 网 络 扩展 至 40 个 国家 和 地 区 ， 通 过 17245 个 境内 机 
构 、329 个 境外 机 构 和 1903 个 代理 行 及 网 上 银行 、 电 话 银 行 和 自助 银行 等 分 销 渠道 ， 
向 473. 5 万 公司 客户 和 4. 32 亿 个 人 客户 提供 广泛 的 金融 产品 和 服务 ， 形 成 了 以 商业 
银行 为 主体 ， 综 合 化 、 国 际 化 、 信 息 化 的 经 营 格局 ， 继 续 保 持 着 国内 市 场 的 领先 地 
位 。2013 年 ， 中 国 工商 银行 位 列 英 国 《 银 行家 》 全 球 1000 家 大 银行 榜首 ， 在 美国 
《福布斯 》 杂 志 全 球 企业 2000 强 排名 中 ， 成 为 全 球 最 大 企业 ， 并 首次 入选 全 球 系统 重 
要 性 银行 。 

截至 2012 年 末 ， 中 国 银行 业 的 境外 资产 已 达到 1 万 亿美 元 ， 是 加 入 世贸 组 织 前 的 
6 倍 ， 当 年 实现 利润 约 169 亿美 元 ， 占 总 利润 的 8. 6% ， 共 有 16 家 中 资 银行 通过 自 设 、 
并 购 、 参 股 等 方式 在 境外 设立 了 1050 家 分 支 机 构 ， 覆 盖 了 亚洲 、 欧 洲 、 美 洲 、 非 洲 和 
大 洋 洲 的 49 个 国家 和 地 区 。 


1.1.3 银行 业 体 制 机 制 改 革 实 现 历史 性 突破 


过 去 我 国 四 大 银行 都 是 国有 独资 银行 ， 而 今天 ， 其 主要 机 构 已 经 全 部 完成 股份 制 市 
场 化 改革 。 这 场 改 革 ， 使 得 打造 资本 充足 、 内 控 严 窗 、 运 营 安 全 、 服 务 和 效益 良好 、 具 
有 国际 竞争 力 的 现代 化 股份 制 商业 银行 的 阶段 性 目标 顺利 实现 。 中 小 商业 银行 全 部 完成 
历史 风险 化 解 处 置 工作 ， 特 色 化 发 展 、 差 异化 竞争 格局 逐步 形成 ， 部 分 中 小 商业 银行 已 
经 树立 起 较 好 的 特色 品牌 。 

现代 银行 在 公司 治理 建设 方面 已 经 迈 出 了 重要 步伐 ,“ 三 会 一 层 ” 的 公司 治理 组 织 
架构 已 经 较为 健全 。 股 东 依 法 行使 权力 履行 义务 、 董 事 会 积极 履行 “诚信 义务 ”和 
“看 管 责 任 ” 的 体制 机 制 已 经 初步 建立 。 战 略 、 经 营 理念 及 激励 约束 机 制 等 日 渐 科 学 合 
理化 。 大 多 数 银行 基本 实现 业务 标准 化 、 横 块 化 和 流程 化 管理 。 部 分 银行 已 经 开始 积极 
探索 实施 项 目 团队 积分 考核 机 制 ， 前 、 中 、 后 台 高 效 协 调 且 有 效 制衡 的 组 织 架 构 初 步 
建成 。 
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1.1.4 银行 业 风 险 管控 和 抵御 能 力 大 幅 提升 


银行 业 风 险 管控 能 力 提升 主要 体现 在 以 下 几 个 方面 : 

第 一 ， 风 险 管 理 制度 迈 向 完备 。 有 关 制 度 规则 除 覆 盖 信 用 风险 、 市 场 风险 、 操 作风 
险 三 大 传统 风险 之 外 ， 更 延伸 到 流动 性 风险 、 声 誉 风险 、 国 别 风 险 、 战 略 风险 、 法 律 风 
险 和 信息 科技 风险 等 领域 。 资 本 与 风险 和 信贷 增长 科学 挂钩 的 机 制 已 基本 形成 。 

第 二 ,现代 风 险 管理 技术 实现 质 的 飞跃。 整个 风险 管理 已 从 只 重 表 内 转向 表 内 外 并 
重 和 并 表 核 算 管理 ， 从 关注 单一 客户 的 风险 转向 关注 组 合 风 险 、 控 制 行业 集中 度 风险 ， 
从 简单 定性 判断 风险 转向 定量 与 定性 判断 相 结合 ， 从 主要 依靠 个 人 经 验 转向 同时 注重 专 
业 研 判 与 模型 测算 。 

第 三 ， 风 险 抵 补 机 制 建设 成 效 显 著 。 银 行 机 构 纷纷 高 度 重视 建立 科学 可 行 的 长 期 资 
本 补充 规划 。 目 前 ， 大 型 银行 通过 内 部 积累 和 外 部 融资 来 补充 资本 的 比例 分 别 约 占 
60% 和 40% ， 并 积极 建立 逆 周 期 资本 缓冲 机 制 。 充 分 运用 形势 较 好 时 期 的 经 营 成 果 尽 
可 能 核 销 不 良 资产 ， 并 根据 潜在 风险 变化 情况 及 早 计 提 和 调整 计 提 拨 备 ， 为 未 来 行为 提 
供 明确 的 指引 信和 号 。 

第 四 ， 风 险 管理 三 道 防线 日 趋 完 善 。 银 行 普遍 建立 了 由 三 道 防线 组 成 的 风险 防 控 体 
系 。 各 相关 部 门 是 风险 管理 的 第 一 道 防线 ， 是 本 部 门 风险 的 直接 承担 者 和 管理 者 ， 对 本 
部 门 风险 承担 第 一 责任 ， 具 有 风险 管理 职责 的 风险 管理 部 、 法 律 合 规 部 等 部 门 是 风险 管 
理 的 第 二 道 防线 ,负责 风险 管理 体系 的 构建 和 对 全 面 风险 管理 的 统筹 、 支 持 和 督促 工 
作 ; 审计 部 是 风险 管理 的 第 三 道 防线 ， 负 责 对 风险 管理 体系 的 运行 情况 进行 审计 ， 并 依 
照 规定 揭示 和 报告 审计 过 程 中 发 现 的 问题 。 三 道 防线 的 工作 配合 日 趋 成 熟 和 完善 。 


1.1.5 银行 业 发 展 模 式 发 生 深刻 变化 


第 一 ， 职 能 定位 回归 服务 实体 经 济 。 近 年 来 ， 在 监管 引领 下 ， 银 行业 始终 坚持 探索 
支持 实体 经 济 平稳 健康 发 展 与 有 效 防 控 风 险 之 间 符 合 客观 规律 的 平衡 点 ; 始终 坚持 探索 
满足 广大 人 民 群 众 日 益 丰 富 的 金融 需求 与 加 快 自身 发 展 方式 转变 的 良性 互动 机 制 ， 始 终 
坚持 探索 更 好 地 发 挥 银行 业 优化 社会 资源 配置 、 支 持 经 济 平稳 健康 科学 发 展 的 路 径 。 对 
“三 农 ”、 小 企业 、 战 略 性 新 兴 产 业 等 重点 领域 和 薄弱 环节 的 支持 力度 明显 加 大 ， 基 础 
金融 服务 均等 化 程度 显著 提高 ， 已 经 实现 全 国 乡 镇 基础 金融 服务 的 全 覆盖 。 

第 二 ， 中 间 业 务 取得 长 足 发 展 。 商 业 银 行 服务 由 单一 的 柜 面 渠道 发 展 为 网 上 银行 、 
手机 银行 、 移 动 POS 等 多 种 渠道 ， 由 简单 的 存 贷 汇 发 展 为 能 够 开办 理财 业务 、 投 行业 
务 、 托 管 业 务 、 代 理 业 务 、 财 务 顾 问 、 贵 金属 业务 等 的 金融 超市 。 这 使 我 国 银行 业主 要 
依靠 利 差 的 便利 机 制 悄然 转变 。 银 行业 金融 机 构 也 更 加 重视 对 成 本 的 科学 管理 和 控制 ， 
如 对 资本 利润 率 (ROE) 、 资 产 利润 率 (ROA)， 以 及 风险 抵 扣 后 的 资本 回报 率 (RA- 
ROC) 和 经 济 附 加 值 (EVA) 这 些 概念 ， 从 最 初 不 其 了 了 到 广泛 应 用 于 业务 和 经 营 的 
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指导 。 这 为 推动 银行 业 金 融 机 构 构 建 向 成 本 要 效益 、 向 管理 要 鳃 利 的 长 效 机 制 打 下 了 基 
础 。 更 重要 的 是 ， 银 行 中 间 业 务 的 快速 发 展 ， 对 改变 过 度 依赖 利 差 、 单 纯 地 冲 规模 的 传 
统 发 展 模式 ， 实 现 战略 转型 、 改 革 发 展 正 发 挥 着 越 来 越 重要 的 作用 。2010 ~ 2013 年 ， 
16 家 上 市 银行 的 中 间 业 务 收 入 复合 增长 率 达 到 26. 1% ， 非 利息 收入 平均 占 比 也 已 超 
过 20% 。 

第 三 ， 电 子 银行 和 移动 支付 业务 发 展 迅 速 。 根 据 中 国 金融 认证 中 心 (以 下 简称 CF- 
CA) 发 布 的 《2014 中 国电 子 银行 调查 报告 》， 中 国电 子 银行 业务 连续 5 年 呈 增 长 趋势 ， 
2014 年 个 人 电子 银行 用 户 比例 为 43. 1% ， 同 比 增长 7. 2 个 百分点 。2014 年 移动 金融 势 
头发 展 迅猛 ， 移 动 支 付 用 户 比例 成 倍增 长 ， 尤 其 是 远程 支付 ， 其 2013 年 的 用 户 比 例 为 
13. 3% ，2014 年 达到 37. 8% 。 调 查 报告 显示 ，2014 年 移动 支付 用 户 比 例 成 倍 上 涨 ， 逾 
五 成 月 支付 额 为 300 ~ 1000 元 ， 此 外 ， 近 场 支付 快速 发 展 ， 我 国 居 民 近 场 支付 习惯 逐渐 
养 成 ， 月 均 百 元 ， 大 多 支付 5 次 以 内 ， 近 距离 无 线 通 信 技 术 (NFC) 近 场 支付 2013 年 
的 用 户 比 例 为 3.6% ，2014 年 达到 8. 5% 。 调 查 显示 ， 受 手机 终端 与 卡片 更 换 限 制 ， 近 
场 支付 虽然 成 倍增 长 、 概 念 普及 度 高 ， 但 未 达到 质 的 突破 ， 应 用 推广 仍 有 待 时 日 。 

2014 年 手机 银行 业务 展现 出 巨大 的 发 展 潜力 。 据 《中 国电 子 银行 调查 报告 》 预 测 ， 
2015 年 个 人 手机 银行 将 出 现 爆发 式 增长 ， 用 户 比 例 将 达到 24% ， 超 过 40% 的 用 户 通过 
手机 银行 购买 理财 产品 。 

2003 年 以 来 ,我 国 的 银行 纷纷 推出 各 种 理财 产品 。 国 内 商业 银行 贵宾 理财 领域 的 
尝试 ， 包 括 打造 顶级 的 理财 团队 ， 为 私人 客户 提供 证 券 、 保 险 、 期 货 、 房 地 产 投 资 甚至 
律师 服务 等 众多 领域 的 专业 理财 服务 等 ， 为 国内 私人 银行 服务 奠定 了 基础 。 目 前 我 国正 
积极 向 金融 业 混 业 经 营 方向 靠拢 ， 例 如 商业 银行 可 以 设立 基金 管理 公司 、 从 事 QDII 境 
外 理财 业务 ， 保 险 公司 允许 设立 资产 管理 公司 并 可 参股 和 控股 商业 银行 等 ， 这 些 措施 从 
某 种 程度 上 正好 迎合 了 个 人 对 私人 银行 业务 全 能 化 、 个 性 化 、 复 杂 化 的 要 求 。 

随 着 改革 的 持续 推进 ， 我 国 银行 业 的 整体 规模 和 竞争 力 已 经 实现 重大 提升 。 在 银行 
业 资 产 和 负债 规模 方面 ，2015 年 二 季度 末 的 数据 显示 ， 我 国 银行 业 金融 机 构 本 外 币 资 
产 ( 境 内外) 总 额 为 188.5 万 亿 元 ， 同 比 增长 12. 75% 。 其 中 ， 大 型 商业 银行 资产 总 额 
为 77.7 万 亿 元 ， 占 比 41.20% ， 同比 增长 9.36% ; 股份 制 商业 银行 资产 总 额 为 35.0 万 
亿 元 ， 占 比 18.59% ， 同 比 增长 15. 07% 。 银 行业 金融 机 构 本 外 币 负 债 (境内 外 ) 总 额 
为 175. 2 万 亿 元 ， 同 比 增长 12. 20% 。 其 中 ， 大 型 商业 银行 负债 总 额 为 72.1 万 亿 元 ， 占 
比 41.14%， 同 比 增长 8.68%; 股份 制 商业 银行 负债 总 额 为 32.9 万 亿 元 , 占 比 
18. 78% ， 同 比 增长 14. 66% 。 


1.2 信息 技术 在 我 国 银行 业 的 发 展 


伴随 着 改革 和 对 外 开放 ， 我 国 金融 业 信 息 化 建设 从 无 到 有 ， 取 得 了 令 人 瞩目 的 成 
就 ， 已 经 成 为 决定 我 国 金融 业 发 展 和 提高 金融 竞争 力 的 关键 因素 之 一 。 随 着 我 国 经 济 的 
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不 断 发 展 ， 各 商业 银行 基本 完成 了 数据 全 国 集中 处 理 〈 称 为 “数据 大 集中 ”) ， 进 一 步 
建设 完善 了 新 一 代 核 心 业务 应 用 处 理 系统 。 银 行 金融 服务 创新 加 快 ， 服 务 水 平 进一步 提 
高 。 重 要 的 标志 是 银行 卡 的 应 用 和 网 上 金融 服务 的 迅速 发 展 。 现 代 银 行业 作为 知识 密集 
型 产业 ， 与 传统 银行 业 相 比 ， 在 组 织 结构 、 业 务 流 程 和 业务 开拓 等 方面 ， 日 益 体 现 出 以 
知识 和 信息 为 基础 的 特征 。 银 行业 的 这 种 行业 属性 ,决定 了 其 必须 以 飞速 发 展 的 信息 技 
术 为 文 撑 。 


1.2.1 商业 银行 信息 科技 发 展 阶段 


我 国 商业 银行 信息 科技 发 展 大 致 经 历 了 四 个 阶段 。 

第 一 阶段 是 20 世纪 70 年 代 末 ~ 80 年 代 中 期 的 单机 批 处 理 阶段 。 这 一 阶段 是 银行 
言 息 化 建设 的 起 步 阶段 ， 银 行 的 储 落 、 对 公 等 业务 逐渐 以 计算 机 处 理 代 替 手工 操作 ， 本 
阶段 的 系统 特点 主要 体现 为 按照 业务 网 点 分 散 建设 、 单 机 操作 ， 只 是 用 计算 机 取代 了 算 
盘 和 手工 账 短 。1974 年 ， 中 国 银 行 香港 分 行 成 立 并 组 建 了 电脑 中 心 ， 该 电脑 中 心 是 我 
国 把 信息 技术 应 用 到 银行 业 的 第 一 个 大 型 计算 中 心 ， 从 此 ， 我 国 金融 行业 开始 了 IBM 
大 型 主机 系统 的 使 用 。 使 用 计算 机 系统 进行 单机 批 处 理 业务 的 成 功 实践 ， 标 志 着 我 国 银 
行业 信息 化 开始 建立 。 

第 二 阶段 是 从 20 世纪 80 年 代 中 期 ~ 90 年 代 末 期 的 联机 网 络 阶段 ， 这 一 阶段 
银行 开始 通过 使 用 计算 机 网 络 技术 实现 部 分 业务 的 实时 联机 处 理 ， 并 逐步 实现 了 
在 一 定 区 域 范围 内 的 数据 集中 及 互联 互通 。 区 域 集 中 让 所 辖 银行 得 以 共享 数据 资 
源 ， 统 一 了 科目 设置 ， 改 进 了 业务 流程 ， 提 高 了 服务 质量 。 这 一 阶段 开始 出 现 国产 化 
软件 。 

第 三 阶段 是 从 1995 年 开始 的 “数据 大 集中 ”阶段 ， 这 一 阶段 在 第 二 代 系 统 基础 上 
对 业务 管理 流程 进行 变革 ， 全 国 性 的 银行 数据 通信 网 络 框架 基本 建成 ， 各 银行 的 综合 业 
务 处 理 网 络 相 继 建 成 ， 提 出 了 大 会 计 与 综合 柜员 制 的 概念 ， 一 个 多 功能 的 、 开 放 的 银行 
言 息 化 体系 初步 形成 ， 全 国 性 的 数据 大 集中 让 银行 的 数据 在 更 大 范围 内 共享 ， 数 据 的 收 
集 和 管理 更 加 方便 ， 管 理 和 决策 也 更 加 高 效 便捷 。 

1999 年 ， 中 国 工商 银行 正式 启动 “数据 大 集中 ”工程 ， 将 该 行 的 主要 业务 集中 到 
北京 、 上 海 两 大 数据 中 心 处 理 。2002 年 ， 两 大 中 心 数据 的 成 功 挂 接 ， 在 我 国 银行 信息 
化 发 展 历程 中 具有 里 程 碑 式 的 深远 意义 。 

第 四 阶段 是 从 2000 年 左右 直到 现在 的 互联 网 阶段 。 随 着 互联 网 和 其 他 数据 网 络 的 
爆炸 式 增长 ， 引 发 了 一 场 全 球 性 的 商务 革命 和 经 营 革命 。 每 个 电子 交易 都 需要 经 过 资金 
的 支付 与 结算 才能 完成 ， 而 作为 资金 流 负载 者 ， 银 行 的 参与 是 至 关 重 要 的 。 因 此 ， 随 着 
互联 网 的 发 展 ， 网 上 银行 服务 也 莲 勃 发 展 起 来 。 为 了 能 取得 成 功 ， 银 行 必须 借助 互联 网 
的 力量 ， 并 使 之 同 计算 机 与 通信 技术 、 信 息 技术 结合 起 来 。 网 上 银行 伴随 着 云 计算 、 大 
数据 、 移 动 互联 、 在 线 支 付 等 新 型 服务 渠道 不 断 涌现 ,我 国 银行 业 信息 化 发 展 步 人 了 一 
个 新 的 时 代 。 
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1.2.2 信息 技术 对 银行 发 展 的 重要 意义 


银行 业 的 高 度 信息 化 和 知识 化 ， 使 服务 前 台 和 管理 机 构 的 信息 能 够 实时 传送 到 决策 
部 门 ， 实 现 智能 化 决策 和 快速 反应 ， 从 而 大 大 提高 管理 效率 ， 扩 大 管理 范围 ， 减 少 管理 
层次 ,促进 银行 的 管理 模式 向 “扁平 化 ”方向 转变 。 

言 息 化 帮助 银行 实现 以 客户 为 中 心 的 业务 流程 再 造 。 信 息 化 帮助 银行 从 根本 上 重新 
思考 和 设计 现 有 的 业务 流程 。 根 据 客 户 类 别 ， 将 分 散在 各 职能 部 门 的 工作 ， 按 照 最 有 利 
于 顾客 价值 创造 的 营运 流程 进行 重组 ， 使 银行 能 有 效 适 应 市 场 的 要 求 ， 从 而 建立 “ 客 
户 中 心 型 ”的 流程 组 织 ， 以 期 在 成 本 、 质 量 、 顾 客 满意 和 反应 速度 等 方面 有 所 突破 ， 
进而 在 财务 绩效 指标 与 业绩 成 长 方面 有 优异 的 表现 。 

言 息 化 已 成 为 金融 工具 创新 的 主要 源泉 。 在 业务 开拓 方面， 信息 化 已 成 为 金融 业 增 
长 的 源泉 因素 ,信息 系 统 的 服务 已 经 涵盖 了 银行 所 有 的 核心 业务 流程 。 新 的 金融 工具 和 
服务 方式 的 推行 ， 往 往 是 金融 性 质 的 市 场 行为 同 信息 技术 相互 耦合 的 结果 ， 信 息 化 为 金 
融 市 场 的 参与 者 提供 了 充足 的 信息 和 基于 知识 的 量化 评价 ， 辅 助 了 决策 行为 ， 使 金融 产 
品 的 交易 更 为 简单 ， 从 而 扩大 了 金融 市 场 。 


1.2.3 信息 技术 在 银行 业 中 的 应 用 前 景 


银行 业 信 息 技术 发 展 是 涉及 银行 各 类 资源 整合 和 银行 所 有 利用 互联 网 、 无 线 技 
术 、 电 话 等 信息 技术 手段 进行 电子 化 交易 、 电 子 化 信息 沟通 、 电 子 化 管理 的 活动 ， 
贯穿 公司 经 营 管理 的 全 过 程 。 银 行业 信息 技术 是 随 着 互联 网 技术 兴起 逐渐 成 熟 的 ， 
新 的 信息 技术 在 金融 公司 内 又 一 轮 深层 次 的 商务 应 用 ， 是 信息 技术 本 身 和 基于 信息 
技术 所 包含 、 所 带 来 的 知识 、 技 术 、 商 业 模式 等 在 银行 内 的 扩散 和 创新 。 拓 展 信 息 技 
术 在 金融 行业 各 个 领域 的 应 用 ， 利 用 信息 技术 发 展 金融 企业 的 商业 模式 将 是 银行 业 未 来 
发 展 的 主要 方向 。 

由 于 全 球 金融 危机 的 出 现 ， 未 来 全 球 金融 领域 将 面临 一 场 挑战 ， 在 应 对 危机 的 同时 
要 面 对 信息 化 和 人 金融 全 球 化 的 浪潮 。 为 此 ， 我 国 银行 业 应 积极 准备 ， 精 心 策划 ， 利 用 互 
联网 进行 金融 产品 的 宣传 和 销售 ， 提 供 全 方位 的 金融 服务 活动 ， 并 通过 互联 网 加 强 与 国 
内 外 金融 公司 的 业务 往来 和 经 验 交 流 。 我 们 相信 ， 全 方面 发 展 信息 技术 ， 有 利于 推动 我 
国 金融 行业 的 长 足 发 展 ， 使 之 以 全 新 的 姿态 积极 参与 国际 金融 市 场 的 兖 争 。 


1.2.4 信息 技术 在 银行 业 中 的 主要 作用 


言 息 技术 增强 了 银行 的 内 部 管理 能 
QD 信息 技术 有 助 于 银行 快速 方便 地 获取 外 部 环境 信息 ， 及 时 分 析 银 行 所 面临 的 机 
会 与 威胁 ， 实 现 战 略 制 定 、 调 整 与 转移 。 
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@) 信息 技术 提供 给 管理 者 多 种 形式 的 运营 信息 、 外 部 行业 信息 、 国 家 经 济 政策 信 
息 ， 既 加 强 了 决策 的 有 效 性 ， 又 提高 了 管理 者 的 工作 效率 。 各 方面 信息 提供 及 决策 支持 
技术 的 发 展 弱 化 了 银行 高 层 领导 依赖 下 属 进行 评价 和 建议 的 程度 ， 提 高 了 决策 的 质量 。 

@) 信息 技术 改善 了 沟通 方法 、 下 放 了 决策 权 、 加 强 了 工作 的 计划 性 ， 因 而 可 以 大 
幅度 地 扩大 管理 辖 幅 、 增 强 决 策 的 透明 度 、 缓 解 时 间 的 压力 、 减 少 事故 发 生 与 发 现 之 间 
的 延误 。 

@ 信息 技术 方便 了 人 力 资 源 管理 ， 对 于 加 强 对 员工 的 培训 ， 提 高 员工 技能 有 重要 
的 作用 。 

言 息 技术 对 于 提高 银行 的 竞争 力 具 有 重要 作用 。 信 息 技 术 服 务 于 银行 业务 的 态势 日 
益 明显 。 在 服务 中 通过 信息 技术 挖掘 和 发 现 潜在 的 业务 需求 ， 提 高 对 新 兴业 务 的 认 知 
度 ， 支 持 银行 业务 全 面 发 展 ， 争 取 到 更 多 、 更 优质 的 客户 群体 ， 使 信息 技术 工作 在 公司 
业务 、 个 人 业务 、 电 子 银行 、 中 间 业 务 等 领域 不 断 创新 ， 信 息 技术 向 业务 部 门 的 渗透 力 
和 转化 力 不 断 加 强 ， 从 而 提升 银行 的 核心 竞争 力 。 

言 息 技术 对 银行 业 日 益 显 现 出 变革 性 的 影响 。 信 息 技 术 的 迅猛 发 展 对 银行 业 的 影响 
已 不 限于 业务 处 理 方式 和 工具 ， 而 是 演变 为 推动 银行 业 变革 的 主要 力量 。 根 植 在 现代 信 
息 技术 之 上 的 现代 银行 业 ， 其 快速 发 展 需要 相应 的 智能 化 金融 基础 设施 体系 与 之 配套 ， 
包括 建立 智能 化 的 支付 清算 体系 ， 在 加 快 资金 周转 的 同时 有 效 防范 支付 风险 ; 建立 智能 
化 的 信息 平台 、 终 端 技术 和 数据 存储 体系 ， 提 高 数据 挖掘 能 力 和 效率 ; 建立 智能 化 的 机 
构 和 网 点 ， 实 现 业 务 管理 和 运作 的 智能 化 ， 建 立 智能 化 的 监管 体系 ， 实 现 更 大 范围 和 更 
有 效 的 监管 。 


1.2.5 我 国 银行 业 信息 化 建设 发 展 进 入 快车 道 


我 国 银行 业 信息 化 建设 取得 巨大 成 就 ， 未 来 仍 将 继续 快速 发 展 。 

1. 金融 信息 基础 设施 日 趋 完善 

我 国 金融 业 拥有 世界 先进 水 平 的 大 型 计算 机 、 小 型 计算 机 、PC 服务 器 、 刀 片 服务 
器 等 各 类 计算 机 ， 建 立 了 获 盖 全 国 的 网 络 通信 系统 ， 开 发 了 大 量 金融 信息 和 业务 处 理 系 
统 ， 形 成 了 比较 完整 的 金融 信息 基础 设施 体系 。 

2. 数据 集中 工程 基本 完成 

以 国有 商业 银行 为 代表 的 各 金融 机 构 实 现 了 业务 数据 的 集中 处 理 ， 统 一 、 规 范 了 业 
务 操作 流程 ， 重 新 设计 了 营运 流程 。 建 立 了 集中 式 的 数据 中 心 ， 有 效 提高 了 数据 处 理 能 
力 和 整体 可 靠 性 ， 为 管理 信息 系统 提供 了 基础 数据 ， 为 下 一 步 实现 经 营 集约 化 、 管 理 信 
息 化 、 决 策 智 能 化 葛 定 了 基础 。 

3. 新 一 代 核 心 业务 系统 成 功 投产 

在 银行 核心 业务 系统 进入 数据 大 集中 阶段 后 ， 各 家 银行 对 新 一 代 核 心 业务 系统 建设 
和 改造 有 诸多 共性 的 特点 : 更 加 强调 以 客户 为 中 心 ， 在 行内 统一 客户 视图 ， 满 足 客户 个 
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性 化 金融 服务 需求 ; 更 加 强调 产品 快速 开发 能 力 ， 通 过 灵活 技术 应 用 架构 设计 ， 提 升 对 
市 场 需求 的 响应 速度 ; 更 加 重视 业务 模型 和 数据 模型 ， 以 适应 金融 发 展 改革 带 来 的 精细 
化 经 营 管理 需求 。 当 然 ， 各 商业 银行 核心 业务 系统 的 差异 性 较 大 ， 其 业务 范围 、 设 计 理 
念 、 技 术 路 线 和 建设 方式 各 有 不 同 ， 各 行 的 业务 连续 性 、 信 息 科 技 治理 能 力 、 信 息 安 全 
保障 水 平 也 有 所 不 同 。 


1.2.6 未 来 几 年 我 国 银行 业 信息 技术 发 展 的 趋势 


1. 加 强 信息 科技 治理 ， 提 高 信息 化 管理 水 平 

未 来 儿 年 ， 银 行业 要 建立 起 适应 数据 大 集中 技术 环境 和 银行 组 织 变革 要 求 的 信息 组 
织 体系 ， 合 理 配 置 科 技 资源 ， 努 力 构建 面向 业务 、 服 务 导 向 、 分 工 合理 、 协 作 紧 密 、 运 
作 高 效 的 专业 信息 化 组 织 架 构 。 

要 建立 信息 科技 战略 和 计划 的 流程 ， 保 证 信息 科技 战略 与 企业 战略 的 一 致 性 ， 确 保 
言 息 科技 技术 投资 决策 符合 本 行 远景 。 建 立 统一 的 项 目 管 控 组 织 和 制度 流程 ， 加 强项 目 
协调 和 管控 ， 加 强 需 求 、 方 案 设 计 、 投 产 验证 等 关键 阶段 的 管理 ， 确 保 项 目 过 程 的 有 效 
控制 。 建 立 统一 的 信息 科技 策略 ， 推 进 企业 信息 科技 技术 标准 化 ， 统 一 信息 科技 架构 、 
规范 信息 科技 技术 采用 ， 提 高 效率 、 降 低 成 本 。 进 一 步 完 善 供应 商 管理 机 制 ， 加 强 供应 
商 的 有 效 控制 ， 为 银行 信息 化 发 展 提供 安全 高 效 的 外 部 资源 文 持 。 

在 完善 信息 科技 运行 管理 的 基础 上 ， 建 立 和 完善 服务 级 别管 理 、 可 用 性 管理 等 流 
程 。 尝 试 建立 信息 科技 财务 管理 流程 和 标准 化 的 信息 科技 服务 水 平 协 议 ， 实 现 服务 交 
付 ， 提升 和 展示 信息 科技 服务 的 价值 ， 努 力 实现 银行 信息 科技 运营 管理 从 以 技术 为 中 心 
的 管理 阶段 向 以 服务 为 中 心 的 管理 阶段 转变 ， 降 低 信息 化 总 体 拥有 成 本 。 

2. 建立 “以 客户 为 中 心 ”的 金融 产品 和 服务 渠道 体系 ， 提 高 银行 服务 
水 平 

大 力 加 强 基 于 信息 技术 的 金融 创新 ， 提 高 产品 创新 能 力 ， 实 现 由 “以 产品 为 中 心 ” 
向 “以 客户 为 中 心 ”的 转变 。 采 用 先进 灵活 的 应 用 体系 架构 ， 加 快 应 用 整合 ， 支 持 业 
务 流程 再 造 ， 缩 短 系统 开发 周期 ， 提 高 产品 交付 能 力 。 进 一 步 完 善 、 拓 展 银行 的 服务 渠 
道 ， 提 供 方便 、 快 捷 、 个 性 化 的 客户 服务 。 加 快 渠 道 整 合 步 伐 ， 实现 产品 “一 次 开发 ， 
多 渠道 部 署 "， 以 降低 开发 及 部 署 成 本 、 加 快 产品 投产 速度 、 提 高 客户 满意 度 、 增 强 市 
场 竞争 力 。 

3. 完善 银行 业 信 息 安 全 应 急 恢 复 体 系 ， 加 强 灾 备 中 心 的 建设 ,保证 系 
统 的 安全 稳定 运行 

加 强 安全 监控 ， 进 一 步 完 善信 息 安全 应 急 处 置 机 制 和 信息 通报 机 制 ， 制 定 应 急 预 
案 并 进行 演练 ， 明 显 提 升 金 融 信 息 系统 预警 、 应 急 处 置 和 恢复 能 力 ， 保 障 金融 业务 
的 连续 稳定 运行 。 探 讨 建立 银行 业 应 急救 援 中 心 的 可 行 性 ， 加 大 应 急 技术 支持 和 救 
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援 力度 ， 加 快 业务 的 恢复 速度 ， 并 最 大 限度 地 实现 资源 共享 ， 推 动 传统 银行 向 流程 
银行 转变 。 

4. 推动 传统 银行 向 流程 银行 转变 

面 对 互 联网 金融 、 利 率 市 场 化 等 多 种 外 部 环境 的 变化 ， 商 业 银行 必须 加 强 自 身 的 管 
理 创 新 、 业 务 创新 、 流 程 创新 ， 以 适应 新 的 市 场 范 争 环境 。 摆 脱 传统 银行 模式 中 过 于 精 
细 的 劳动 分 工 器 绊 ， 使 银行 的 组 织 形式 向 局 平 化 、 精 益 化 的 方向 发 展 。 从 生产 或 产品 导 
向 转变 为 消费 者 导向 和 服务 导向 ， 突 出 核心 业务 流程 和 业务 流程 的 多 样 化 ， 通 过 业务 流 
程 的 再 造 来 引发 组 织 流 程 和 管理 流程 的 再 造 ， 从 而 推动 传统 银行 向 流程 银行 的 转变 。 

5. 加 强 信息 科技 风险 管理 ， 完 善 研发 运 维 体系 

信息 科技 风险 管理 一 直 是 银行 的 一 项 重要 任务 。 未 来 商业 银行 应 着 力 加 强 培育 信息 科技 
风险 管理 文化 ， 优 化 组 织 架构 ， 制 定 信息 科技 风险 管理 战略 、 政 策 、 制 度 、 流 程 、 方 法 ， 提 
高 组 合 风险 管理 水 平 ， 将 信息 科技 风险 管理 纳入 到 全 面 风 险 管理 体系 中 ; 把 风险 管控 贯穿 于 
信息 系统 生命 周期 ， 建 立 起 信息 科技 风险 管控 的 日 常 化 、 流 程 化 、 持 续 化 机 制 。 


1.3 银行 业 信息 安全 概述 


1.3.1 信息 安全 重要 性 日 益 凸 显 


言 息 技术 在 银行 业 中 的 广泛 应 用 ， 大 大 提高 了 银行 资源 的 使 用 效率 和 人 员 的 工作 效 
率 ， 增 加 了 银行 的 核心 范 争 力 。 但 在 银行 信息 科技 发 展 的 过 程 中 ,信息 技术 的 安全 隐患 
也 越发 突显 出 来 ， 如 自然 灾害 、 数 据 汇 露 、 病 毒 攻 击 、 人 员 操 作 失 误 等 。 如 何 保 证 银行 
业务 的 正常 运营 ， 建 立 一 个 完整 的 、 稳 定 的 信息 安全 防护 机 制 ， 逐 渐 成 为 银行 信息 技术 
发 展 的 一 个 重要 课题 。 


1.3.2 信息 安全 在 银行 业 中 的 发 展 阶段 


银行 业 信息 安全 的 发 展 大 致 可 以 分 为 3 个 阶段 : 

第 一 阶段 : 从 20 世纪 70 年代 后 期 至 80 年 代 初 期 的 银行 电子 化 阶段 。 该 阶段 银行 
应 用 系统 封闭 ， 面 临 的 威胁 较 小 ， 主 要 通过 内 控 、 安 全 审计 等 方法 进行 信息 安全 控制 。 

第 二 阶段 : 从 20 世纪 80 年 代 至 2000 年 左右 的 信息 科技 优化 阶段 。 在 这 个 时 期 主 
要 通过 防火 墙 、 人 侵 检测 系统 、 漏 洞 修复 、 系 统 扫描 等 多 种 手段 形成 纵深 防御 体系 ， 客 
户 端 采用 强 密码 学 方法 ， 通 过 硬件 密码 产品 ， 逐 步 形 成 金融 生态 圈 的 安全 体系 。 

第 三 阶段 :从 2000 年 至 现在 的 信息 科技 价值 创造 阶段 。 随 着 互联 网 应 用 加 强 ， 手 
机 等 智能 终端 普及 ， 信 息 安 全 面临 新 的 挑战 ， 银 行业 通过 国 密 算法 、 金 融 IC 卡 、 国 产 
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蕊 片 、 应 用 程序 安全 开发 、 安 全 协议 等 各 种 方法 ， 面 对 新 形势 加 强 了 对 信息 安全 的 
建设 。 

40 多 年 来 ,我国 银行 业 信息 安全 建设 从 无 到 有 ， 取 得 了 令 人 有 瞩目 的 成 就 ， 已 经 逐 
渐 成 为 决定 我 国 银行 业 发 展 和 提高 金融 苋 争 力 的 关键 因素 之 一 。 


1.3.3 信息 安全 是 银行 业 永 久 性 的 话题 


就 银行 业 而 言 ， 几 乎 所 有 的 业务 都 运行 在 信息 技术 基础 设施 之 上 ， 尤 其 是 新 出 现 的 
金融 产品 和 服务 更 加 趋 于 开放 和 互联 ， 进 一 步 加 强 了 对 信息 系统 的 依赖 程度 。 

信息 系统 和 信息 安全 已 经 成 为 操作 风险 管理 的 重要 内 容 。 信 息 的 保密 性 、 完 整 性 、 
有 效 性 及 信息 系统 可 用 性 对 银行 业务 的 成 败 起 着 至 关 重 要 的 作用 。 

银行 业 信息 系统 在 规划 、 研 发 、 建 设 、 和 运行、 维护、 监控 及 退出 过 程 中 ， 由 于 技术 
和 管理 缺陷 容易 产生 操作 、 法 律 和 声誉 等 风险 ， 而 信息 安全 在 银行 业 中 具有 技术 性 高 、 
涉及 范围 广 、 隐 项 性 强 等 特征 。 

随 着 攻击 者 的 泛滥 ， 商 业 银 行业 面临 着 信息 安全 挑战 。 首 先是 技术 问题 ， 表 现 为 计 
算 机 硬件、 软件 、 网 络 及 相应 业务 信息 系统 所 引发 的 异常 情况 ， 包 括 程 序 错 误 、 系 统 宕 
机 、 软 件 缺陷 、 操 作 失 误 、 硬 件 故 障 、 容 量 不 足 、 网 络 漏洞 、 故 障 恢复 灾难 备份 及 应 急 
处 理 等 诸多 内 容 。 其 次 是 管理 问题 ， 不 仅 包括 信息 系统 的 管理 ， 而 且 包括 商业 银行 各 种 
业务 数据 的 管理 。 

言 息 安全 是 银行 业 永久 性 的 话题 。 银 行 应 用 系统 相互 牵连 、 使 用 对 象 多 样 化 、 安 全 
风险 多 方位 、 信 息 可 靠 性 、 保 密 性 要 求 高 等 特征 构成 了 银行 系统 的 突出 特点 。 国 际 金融 
危机 以 来 ， 银 行 系统 的 风险 控制 和 监管 被 提 到 了 前 所 未 有 的 高 度 。 如 何 利用 信息 技术 的 
优势 加 强 银行 机 构 的 内 部 控制 ， 提 高 金融 监管 和 服务 水 平 ， 防 范 和 化 解 金融 风险 ， 促 进 
金融 改革 和 创新 ， 从 而 推动 我 国 经 济 社会 的 发 展 ， 是 当前 我 国 银行 业 信息 化 建设 面临 的 
重大 问题 。 


第 2 草 
银行 业 信 息 安 全 发 展现 状 


信息 系统 是 银行 业务 正常 运行 的 重要 支撑 平台 ,如果 信 息 系 统 出 现 了 故障 或 受到 攻 
击 ， 可 能 导致 一 个 银行 的 局 部 甚至 整体 瘫痪 。 随 着 信息 技术 的 飞速 发 展 和 国际 上 网 络 冲 
突 的 不 断 加 深 ， 银 行 信息 系统 面临 着 越 来 越 多 的 安全 威胁 。 信 息 系 统 安 全 已 经 成 为 关系 
到 银行 业务 能 否 顺利 开展 的 重要 因素 ， 因 此 必须 确保 银行 业 信 息 安全 得 到 保障 。 近 年 
来 ,我 国 银行 十 分 重视 信息 安全 建设 ,并 取得 了 卓越 的 成 效 ， 为 我 国 银行 业 快 速 发 展 做 
出 了 巨大 的 贡献 。 

本 章 描述 了 信息 安全 的 定义 、 范 围 ， 对 我 国 银行 业 面临 的 威胁 和 信息 安全 建设 取得 
的 成 绩 进 行 了 阐述 和 分 析 。 


2.1 信息 安全 含义 及 范围 


信息 安全 本 身 包括 的 范围 很 大 ， 其 中 包括 如 何 防 范 商 业 企 业 机 密 泄露 、 防 范 不 良 信 
息 的 泛滥 、 个 人 信息 的 泄露 等 ， 也 包括 网 络 安 全 、 系 统 安 全 、 各 种 安全 协议 、 安 全 机 制 
(数字 签名 、 消 息 认 证 、 数 据 加 密 等 ) 等 内 容 。 通 过 信息 安全 工作 ,确保 信息 系统 ( 包 
括 人 硬件 、 软 件 、 数 据 、 人 、 物 理 环境 及 其 基础 设施 ) 受到 保护 ， 不 受 偶然 的 或 者 恶意 
的 原因 而 遭 到 破坏 、 更 改 、 泄 露 ， 系 统 连续 、 可 靠 、 正 常 地 运行 ,信息 服务 不 中 断 ， 最 
终 实 现 业务 的 连续 性 。 

言 息 安全 的 含义 在 不 断 延伸 ， 从 最 初 的 信息 保密 性 发 展 到 信息 的 完整 性 、 可 用 性 、 
可 控 性 和 不 可 否认 性 等 ， 进 而 又 发 展 为 “ 攻 (攻击 )、 防 (防范 )、 测 (检测 )、 控 
(控制 )、 管 (管理 )、 评 〈 评 佑 ) ”等 多 方面 的 基础 理论 和 实施 技术 。 总 的 来 说 ， 信 息 
安全 主要 包括 以 下 七 方面 的 内 容 ， 即 需 保 证 信息 的 机 密 性 、 完 整 性 、 可 用 性 、 真 实 性 、 
可 核查 性 、 不 可 否认 性 、 可 靠 性 。 

1) 机 密 性 ( Confidentiality) : 信息 不 能 被 未 授权 的 个 人 、 实 体 或 者 过 程 利用 或 知悉 
的 特性 。 
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2) 完整 性 (Integrity) : 保护 资产 的 准确 和 完整 的 特性 。 

3) 可 用 性 (Availability) : 根据 授权 实体 的 要 求 可 访问 和 利用 的 特性 。 

4) 真实 性 (Authenticity ) : 确保 主体 或 资源 与 它们 声称 相 一 致 的 特性 。 真 实 性 可 
应 用 于 诸如 用 户 、 进 程 、 系 统 及 信息 等 实体 。 

5) 可 核查 性 ( Accountability) : 确保 实体 的 活动 可 以 唯一 追溯 到 该 实体 的 特性 。 

6) 不 可 否认 性 (Non-repudiation) : 确信 实体 活动 发 生 或 未 发 生 的 特性 。 

7) 可 靠 性 (Reliability) : 预期 的 行为 和 结果 的 一 致 性 。 

信息 安全 是 一 个 综合 、 交 叉 的 学 科 领 域 ， 它 综合 利用 数学 、 物 理 、 通 信和 计算 机 等 
诸多 学 科 的 长 期 知识 积累 和 最 新 发 展 成 果 ， 进 行 自主 创新 研究 ， 加 强 顶 层 设计 ， 提 出 系 
统 的 、 完 整 的、 协同 的 解决 方案 。 与 其 他 学 科 相 比 ， 信 息 安 全 的 研究 更 强调 自主 性 和 创 
新 性 。 自 主 性 可 以 避免 后 门 ， 增 强 安 全 可 控 ; 而 创新 性 可 以 抵抗 各 种 攻击 ， 适 应 技术 未 
来 发 展 。 


2.2 银行 业 面临 的 威胁 分 析 


2.2.1 银行 业 面临 的 攻击 威胁 


银行 业 网 络 及 信息 系统 作为 我 国 关 键 基础 设施 的 重要 组 成 部 分 ， 其 安全 稳定 运行 关 
乎 人 民 和 群众 的 切身 利益 ， 关 系 到 金融 稳定 和 社会 稳定 的 大 局 。 根 据 银 行业 的 业务 和 信息 
系统 特点 ， 可 以 将 银行 业 面 临 的 威胁 描述 如 下 : 

(1) 资金 盗 取 ”如 银行 卡 盗 刷 、 网 上 银行 账户 被 盗 等 。 

(2) 业务 欺骗 。 某 一 伪 系 统 或 系统 部 件 欺骗 合法 的 用 户 或 系统 自愿 地 放弃 敏感 信 
息 等 。 

(3) 信息 泄露 ”信息 被 泄露 或 透露 给 某 个 非 授权 的 实体 。 

(4) 网 络 诈骗 ”以 非法 占有 为 目的 ， 利 用 互联 网 采用 虚构 事实 或 者 隐瞒 真相 的 方 
法 ， 骗 取 数 额 较 大 的 公私 财物 的 行为 。 

(5) 破坏 信息 的 完整 性 ”数据 被 非 授权 地 进行 增加 、 修 改 或 破坏 而 受到 损失 。 

(6) 拒绝 服务 ”对 信息 或 其 他 资源 的 合法 访问 被 无 条 件 地 阻止 。 

(7) 非法 使 用 ( 非 授权 访问 )” 茶 一 资源 被 某 个 非 授 权 的 人 或 以 非 授权 的 方式 
使 用 。 

(8) 窃听 用 各 种 可 能 的 合法 或 非法 的 手段 窃取 系统 中 的 信息 资源 和 敏感 信息 。 
例如 ， 对 通信 线路 中 传输 的 信号 搭 线 监听 ， 或 者 利用 通信 设备 在 工作 过 程 中 产生 的 电磁 
泄漏 截取 有 用 信息 等 。 

(9) 业务 流 分 析 通过 对 系统 进行 长 期 监听 ， 利 用 统计 分 析 方法 对 诸如 通信 频 度 、 
通信 的 信息 流向 、 通 信和 总 量 的 变化 等 参数 进行 研究 ， 从 中 发 现 有 价值 的 信息 和 规律 。 
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(10) 假冒 ”通过 欺骗 通信 系统 (或 用 户 ) 达到 非法 用 户 冒 充 合法 用 户 ,或 者 特权 
小 的 用 户 冒 充 特权 大 的 用 户 的 目的 。 黑 客 大 多 采用 假冒 攻击 。 

(11) 旁 路 控制 ”攻击 者 利用 系统 的 安全 缺陷 或 安全 性 上 的 脆弱 之 处 获得 非 授权 的 
权利 或 特权 。 人 例如， 攻击 者 通过 各 种 攻击 手段 发 现 原本 应 保密 ， 但 是 却 又 暴露 出 来 的 一 
些 系统 “特性 ”， 利 用 这 些 “ 特 性 ”， 攻 击 者 可 以 绕 过 防线 守卫 者 侵入 系统 的 内 部 。 

(12) 越权 ”被 授权 以 某 一 目的 使 用 某 一 系统 或 资源 的 某 个 人 ， 却 将 此 权限 用 于 其 
他 非 授权 的 目的 ， 也 称 作 “内 部 攻击 ”。 

(13) 网 络 攻击 黑客 通过 网 络 对 银行 进行 攻击 ， 造 成 银行 网 络 、 系 统 竣 痪 ， 数 据 
被 盗 和 丢失 等 。 

(14) 特洛伊 木马 ”软件 中 含有 一 个 觉察 不 出 的 有 害 程序 段 ， 当 它 被 执行 时 ， 会 破 
坏 用 户 的 安全 。 这 种 应 用 程序 称 为 特洛伊 木马 (Trojan Horse)。 

(15) 陷阱 门 ” 在 某 个 系统 或 某 个 部 件 中 设置 的 “机 关 ”， 使 得 在 特定 的 数据 输入 
时 ， 人 允许 输入 者 违反 安全 策略 。 

(16) 计算 机 病毒 ”一 种 在 计算 机 系统 运行 过 程 中 能 够 实现 传染 和 侵害 功能 的 
程序 。 

(17) 人 员 不 慎 一 个 授权 的 人 为 了 某 种 利益 ,或 由 于 粗心 ， 将 信息 泄露 给 一 个 非 
授权 的 人 。 

(18) 媒体 废弃 ”信息 被 从 废弃 的 磁 碟 或 打印 过 的 存储 介质 中 获得 。 

(19) 物理 侵入 侵入 者 绕 过 物理 控制 而 获得 对 系统 的 访问 。 

(20) 安全 系统 疏 于 维护 ”因为 金融 行业 一 般 都 较 早 地 进行 了 信息 化 建设 和 维护 ， 
很 多 时 候 做 过 周密 的 预案 和 灾 备 演练 后 就 放松 了 对 系统 的 整体 安全 维护 。 

近年 来 ， 针 对 银行 业 的 网 络 攻击 相当 猩 狐 ， 恶 意 软件 、 病 毒 及 钓鱼 网 站 层出不穷 ， 
利用 银行 信息 系统 或 银行 卡 进行 的 资金 盗 取 、 业 务 欺骗 也 时 有 发 生 ， 成 为 银行 信息 安全 
防护 的 重点 。 

同时 ， 我 国 银 行业 信息 系统 和 网 络 的 自主 控制 能 力 仍然 不 强 ， 核 心 关 键 领域 还 是 依 
赖 于 某 些 厂家 的 产品 和 服务 ,缺乏 判断 设备 是 否 存 在 “后 门 ”“ 软 件 缺 陷 ”“ 软 件 炸 
弹 ” 等 安全 隐患 的 能 力 。 


2.2.2 银行 信息 安全 风险 成 因 


1. 信息 系统 本 身 固有 的 风险 

信息 化 在 推动 银行 发 展 的 同时 ， 也 给 银行 自身 带 来 了 巨大 的 风险 ， 由 于 信息 化 规模 
的 不 断 扩大 ， 信 息 技 术 迅 速 发 展 ， 银 行 信息 系统 所 采用 的 信息 科技 技术 与 信息 系统 软 硬 
件 本 身 存 在 着 大 量 的 弱点 ， 这 些 弱 点 被 特定 的 威胁 利用 ， 就 会 产生 风险 ， 从 而 对 银行 信 
息 系统 的 机 密 性 、 完 整 性 及 可 用 性 产生 损害 。 信 息 化 程度 越 高 ， 风 险 就 会 越 大 。 例 如 ， 
系统 漏洞 、 硬 件 故 障 、 意 外 灾祸 都 会 造成 银行 信息 系统 不 能 正常 工作 ， 从 而 造成 重大 
问题 。 
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2. 银行 数据 集中 处 理 的 风险 

银行 数据 大 集中 是 银行 发 展 的 必然 趋势 ， 只 有 完成 数据 集中 ， 才 能 实现 银行 账 务 数 
据 与 营业 机 构 的 分 离 ， 为 银行 管理 集中 和 科学 运营 奠定 基础 ， 帮 助 银行 从 以 账 务 和 产品 
为 中 心 转变 为 以 客户 为 中 心 。 但 是 ， 数 据 集中 有 其 有 利 的 一 面 ， 也 有 不 利 的 一 面 ， 集 中 
后 信息 系统 风险 增 大 ， 系 统一 旦 出 现 问题 ， 出 现 数据 泄露 等 情况 ， 不 但 会 影响 到 整个 银 
行 的 正常 运营 ， 还 会 影响 银行 的 声誉 ， 造 成 不 可 估量 的 损失 。 

3. 网 络 金融 服务 信息 安全 风险 

近年 来 ， 网 络 金融 服务 ， 如 网 上 银行 、 移 动 银行 、 电 子 商 务 结算 等 ， 出 现 暴 发 性 的 
增长 , 已 成 为 目前 国际 范围 内 成 长 最 为 迅速 的 银行 业务 品种 ， 也 是 银行 争 相 追逐 的 利润 
增长 点 。 其 中 绝 大 部 分 的 B2B 、B2C 业务 要 通过 互联 网 、 无 线 网 、 电 话 网 与 银行 相连 。 
银行 业务 系统 要 顺应 开放 和 互 连 的 趋势 ， 其 信息 安全 范畴 已 经 突破 了 以 业务 系统 物理 隔 
离 和 协议 隔离 为 基础 的 传统 银行 信息 安全 ， 如 何在 公 网 环境 下 防止 黑客 和 病毒 的 破坏 ， 
如 何在 危机 四 伏 的 互联 网 上 保证 支付 系统 的 安全 性 ， 是 银行 信息 系统 面临 的 挑战 。 

4. 人 为 造成 的 风险 

统计 结果 表明 ， 在 所 有 的 信息 安全 事件 中 ， 只 有 20% ~30% 是 由 于 黑客 人 侵 或 其 
他 外 部 原因 造成 的 ,70% ~ 80% 是 由 于 内 部 员工 的 疏忽 或 有 意 泄 密 造 成 的 ， 人 的 因素 比 
言 息 安全 技术 和 产品 的 因素 更 重要 。 因 此 人 为 信息 安全 风险 至 关 重 要 。 银 行业 作为 信息 
安全 领先 行业 ， 在 这 个 方面 考虑 慎 多 ， 对 于 认为 造成 的 风险 从 制度 、 员 工 意识 及 各 种 控 
制 措施 等 多 个 方面 进行 了 有 效 防范 。 但 是 安全 没有 止境 ， 在 信息 安全 问题 上 ， 银 行业 要 
以 人 为 本 ， 而 内 部 完备 的 安全 管理 政策 、 安 全 教育 计划 与 健全 的 银行 安全 文化 建设 也 成 
了 非常 重要 的 工作 。 

总 的 来 讲 ， 面 对 形形色色 ， 种 类 繁多 的 各 种 威胁 和 风险 ， 我 国 银行 业 在 信息 安全 建 
设 方面 做 了 大 量 的 工作 ， 取 得 了 卓越 的 成 效 。 


2.3 ”银行 业 信息 安全 政策 的 制定 与 监管 趋 于 完善 


言 息 安全 在 我 国 银行 业 及 其 他 各 行 各 业 的 地 位 越 来 越 高 ， 国 家 和 行业 层面 也 加 大 了 
指导 和 监管 力度 。 从 我 国 来 看 ， 国 家 安全 委员 会 、 网 络 安 全 和 信息 化 领导 小 组 及 其 办 公 
室 、 国 务 院 、 中 国人 民 银 行 (图 2-1) 、 银 监 会 及 中 国信 息 安 全 测评 中 心 、 中 国信 息 安 
全 认证 中 心 、 国 家 密码 管理 局 等 机 构 从 不 同 角 度 对 信息 安全 制定 和 提出 了 相关 的 政策 和 
要 求 。 

2014 年 1 月 24 日 ， 中央 国 家 安全 委员 会 成 立 。 中 央 国 家 安全 委员 会 作为 中 央 关 于 
国家 安全 工作 的 决策 和 议事 协调 机 构 ， 向 中 央 政 治 局 、 中 央 政 治 局 常务 委员 会 负责 ， 统 
筹 协调 涉及 国家 安全 的 重大 事项 和 重要 工作 。 我 国 处 在 经 济 结构 转型 的 阶段 ， 信 息 化 在 
转型 过 程 中 作用 至 关 重要 。 国 安 委 的 成 立 ， 标 志 着 信息 安全 战略 已 经 成 为 国家 安全 战略 
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的 重要 组 成 部 分 ， 在 国家 安全 建设 中 占据 重要 地 位 。 

2014 年 2 月 27 日 ， 中 央 网 络 安全 和 信息 化 领导 小 组 成 立 。 领 导 小 组 将 着 眼 于 国家 
安全 和 长 远 发 展 ， 统 筹 协调 涉及 经 济 、 政 治 、 文 化 、 社 会 及 军事 等 各 个 领域 的 网 络 安全 
和 信息 化 重大 问题 ， 研 究 制定 网 络 安 全 和 信息 化 发 展 战略 、 宏 观 规划 和 重大 政策 ， 推 动 
国家 网 络 安全 和 信息 化 法 治 建设 ， 不 断 增强 安全 保障 能 力 。 


到 2-1 中 国人 民 银 行 


公安 部 为 了 规范 信息 安全 等 级 保护 管理 ， 于 2003 年 7 月 成 立 了 公安 部 信息 安全 等 
级 保护 评测 中 心 ， 为 国家 管理 部 门 在 推进 信息 安全 等 级 保护 工作 过 程 中 的 监督 、 检 查 、 
旨 导 等 行政 执法 工作 提供 专业 技术 支持 ， 对 国家 基础 网 络 和 重点 信息 系统 的 安全 保护 状 
况 进行 权威 测评 并 提出 改进 建议 ， 负 责 全 国信 息 安全 等 级 测评 体系 和 技术 支撑 体系 建设 
的 技术 管理 及 技术 指导 。2007 年 ， 公 安 部 依据 《中 华人 民 共 和 国 计 算 机 信息 系统 安全 
保护 条 例 》， 经 法 律 授 权 ， 会 同 国家 保密 局 、 国 家 密码 管理 局 和 原 国务 院 信 息 办 共同 发 
行 了 《信息 安全 等 级 保护 管理 办 法 》， 对 信息 安全 保护 等 级 做 出 了 明确 的 规定 ， 为 指导 
各 地 区 、 各 部 门 开 展 等 级 保护 工作 提供 了 政策 保障 。 

国家 密码 管理 局 为 了 促进 我 国信 息 科 技 健康 有 序 的 发 展 ， 发 布 了 《电子 认证 服务 
密码 管理 办 法 》 《证 书 认证 系统 密码 及 其 相关 安全 技术 规范 》 等 规章 制度 和 《 国 密 
SM1》《 国 密 SM2》《 国 密 SM3》 等 密码 算法 。2012 年 ， 国 家 密码 管理 局 发 布 公告 ， 批 
准 《 祖 冲 之 序列 密码 算法 》《SM4 分 组 密码 算法 》 等 六 项 密码 行业 标准 ， 用 于 对 不 涉及 
国家 秘密 内 容 但 又 具有 敏感 性 的 内 部 信息 、 行 政事 务 信息 、 经 济 信息 等 进行 加 密 保护 。 

中 国人 民 银 行 对 于 银行 业 信息 科技 的 发 展 非常 重视 ， 早 在 2002 年 ， 中 国人 民 银 行 
就 发 布 了 《银行 计算 机 安全 事件 报告 管理 制度 》 来 保障 银行 计算 机 安全 管理 ， 防 范 信 
息 系统 的 技术 缝隙 ， 保 证 银行 信息 系统 的 安全 运行 。 

2006 年 ， 中 国人 民 银 行 发 布 《 关 于 进一步 加 强 银行 业 金融 机 构 信息 安全 保障 工作 
的 指导 意见 》， 对 建立 和 完善 与 银行 业 金融 机 构 信 息 化 发 展 相 适 应 的 信息 安全 保障 体 
系 ， 满 足 银 行业 金融 机 构 业 务 发 展 的 安全 性 要 求 ， 保 证 信息 系统 和 相关 基础 设施 功能 的 
正常 发 挥 ， 有 效 防范 、 控 制 和 化 解 信息 技术 风险 ， 增 强 信息 系统 安全 预警 、 应 急 处 置 和 
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灾难 恢复 能 力 ， 保 障 数据 安全 ， 显 著 提 高 银行 业 金融 机 构 的 业务 持续 运行 保障 水 平 提出 
了 要 求 。 

现 阶段 中 国人 民 银 行 认 真 贯彻 中 央 经 济 金融 工作 大 政 方针 和 决策 部 署 ， 主 动 适应 金 
融 改革 开放 新 形势 ， 积 极 履 行 科 技 管理 和 服务 职能 ， 各 项 工作 取得 了 新 进展 ， 包 括 制 定 
金融 业 网 络 安全 规划 ， 组 建 信息 安全 专 控 队 伍 ， 启 动 央行 应 急 监 控 指 挥 中 心 和 灾 备 中 心 
建设 ， 加 强 数 据 中 心 风险 防 控 ， 发 布 银 行业 标准 化 工作 指南 ， 建 立 央 行 信息 技术 标准 体 
系 ， 完 善 金融 业 检 测 认证 基础 设施 ， 全 面 推进 金融 机 构 代 码 应 用 ， 建 成 我 国 全 球 法 人 识 
别 码 (LEI) 本 地 注册 渠道 并 实现 国际 互 认 ， 关 闭 金 融 IC 卡 降级 交易 ， 推 进 移动 金融 
安全 可 信服 务 平台 应 用 和 创新 试点 工作 等 ， 为 推动 我 国 金融 改革 发 展 、 维 护 金 融 稳 定 、 
促进 金融 服务 社会 民生 等 方面 提供 了 重要 的 技术 支撑 。 

针对 银行 业 监 管 标 准 ， 银 监 会 (图 
2-2) 于 2009 年 发 布 了 《商业 银行 信息 科 
技 风险 管理 指引 》， 蔡 代 了 2006 年 发 布 的 
《银行 业 金融 机 构 信 息 系统 风险 管理 指 
引 》。 新 发 布 的 《商业 银行 信息 科技 风险 
管理 指引 》 具 有 以 下 几 个 特点 : 四 全 面 
涵盖 商业 银行 的 信息 科技 活动 ， 进 一 步 明 
确信 息 科 技 与 银行 业务 的 关系 ， 对 于 认识 
和 防范 风险 具有 更 加 积极 的 作用 。@ 适 用 
范围 由 银行 业 金 融 机 构 变 为 法 人 商业 银 
行 ， 其 他 银行 业 金 融 机 构 参照 执行 。@ 信 
息 科技 治理 作为 首要 内 容 提出 ， 充 实 并 细 化 了 对 商业 银行 在 治理 层面 的 具体 要 求 ，@ 重 
点 阐述 了 信息 科技 风险 管理 和 内 外 部 审计 要 求 ， 特 别 是 要 求 审 计 贯 穿 信息 科技 活动 的 整 
个 过 程 之 中 。@@ 参 照 国 际 、 国 内 的 标准 和 成 功 实践 ， 对 商业 银行 信息 科技 整个 生命 周期 
内 的 信息 安全 、 业 务 连 续 性 管理 和 外 包 等 方面 提出 高 标准 和 高 要 求 ， 使 操作 性 更 强 。@) 
加 强 了 对 客户 信息 保护 的 要 求 。 

为 加 强 商 业 银行 数据 中 心 风 险 管 理 ， 银 监 会 还 于 2010 年 发 布 了 《商业 银行 数据 中 
心 监 管 指引 》 对 我 国 商业 银行 设立 与 变更 、 风 险 管理 、 运 行 环境 、 运 营 维 护 、 监 督 管 
理 等 方面 做 出 了 要 求 ， 保 障 数据 中 心安 全 、 可 靠 、 稳 定 运行 ， 提 高 商业 银行 的 业务 连续 
性 水 平 。 

银监会 于 2012 年 8 月 5 日 对 外 宣布 ， 经 中 央 机 构 编 制 委 员 会 办 公 室 批 准 ， 设 立信 
息 科技 监管 部 。 该 部 门 的 主要 职责 是 制定 银行 业 信息 科技 监管 政策 ， 指 导 银 行业 信息 科 
技 发 展 规划 ， 开 展 信息 科技 非 现场 监管 和 现场 检查 ， 处 置信 息 科技 突 发 事件 ， 开 展 银行 
业 标 准 化 相关 工作 及 银监会 信息 科技 风险 防范 工作 归口 管理 。 其 被 赋予 的 使 命 是 加 强 银 
行业 信息 科技 监管 督导 和 专项 排查 工作 ， 维 护 银 行业 稳健 和 运行。 银监会 系统 要 进一步 强 
化 银行 业 信息 科技 风险 监管 工作 ， 加 强 信息 科技 风险 的 监测 和 预警 ， 深 入 开展 信息 科技 
现场 检查 ， 做 到 风险 早 发 现 、 早 报告 、 早 处 置 ， 进 一 步 提升 信息 科技 风险 监管 的 及 时 
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性 、 前 瞻 性 。 此 外 ， 银 监 会 还 要 求 银行 业 金融 机 构 做 到 风险 排查 到 位 、 管 理 措 施 到 位 、 
整改 落实 到 位 ， 要 从 维护 银行 业 稳健 运行 的 全 局 出 发 ， 加 强 银行 业 信息 科技 监管 督导 和 
专项 排查 ， 督 促 提 高 信息 系统 的 可 靠 性 和 稳定 性 。 

2013 年 9 月 ， 银 监 会 发 布 了 《关于 应 用 安全 可 控 信息 技术 加 强 银 行业 网 络 安 全 和 
言 息 化 建设 的 指导 意见 》(39 号 文 )， 明 确 将 安全 可 控 信息 技术 应 用 纳入 战略 规划 ， 预 
计 到 2019 年 ， 安 全 可 控 信息 技术 在 银行 业 使 用 率 总 体 达到 75% 左 右 。 

当前 ， 银 监 会 推动 银行 业 “ 安 全 可 控 ” 技 术 应 用 的 重点 在 于 网 络 设备 、 存 储 、 中 
低 端 服务 器 、 信 息 安 全 、 运 维 服务 、 文 字 处 理 软件 ， 并 将 在 操作 系统 、 数 据 库 等 领域 加 
大 力度 。 根 据 上 述 39 号 文 ， 从 2015 年 起 ， 银 行业 金融 机 构 对 安全 可 控 信 息 技术 的 应 用 
应 以 不 低 于 15% 的 比例 逐年 增加 ， 直 至 2019 年 达到 不 低 于 75% 的 总 体 占 比 。39 号 文中 
部 分 量化 指标 将 纳入 各 行 2015 年 年 度 考 核 ， 包 括 安全 可 控 信息 技术 每 年 不 低 于 15% 的 
增加 率 。 另 外 ， 从 2015 年 起 ， 银 行业 机 构 应 安排 不 低 于 5% 的 年 度 信息 化 预算 ， 用 于 
支持 围绕 安全 可 挖 信息 系 统 的 研究 。 


2.4 银行 业 在 信息 安全 建设 方面 取得 的 卓越 成 效 


2. 4.1 明确 信息 安全 管理 目标 和 策略 ， 完 善信 息 安 全 制度 体系 


我 国 各 商业 银行 均 十 分 注重 整体 信息 安全 管理 策略 建设 。 遵 循 监管 要 求 ， 结 合 自身 实 
际 ， 银 行 确立 了 全 行 信息 安全 管理 目标 : 一 是 有 效 保护 信息 及 信息 处 理 环境 ， 支 持 业务 持续 
运营 ; 二 是 提高 应 对 新 型 信息 安全 威胁 的 能 力 ， 支 持 业 务 创 新 ; 三 是 保护 客户 信息 和 资金 安 
全 ， 维 护 银行 声誉 ; 四 是 提高 合 规 管理 能 力 ， 满 足 监 管 要 求 。 制 定 了 “全 面 管理 、 了 预防 为 
主 、 分 级 保护 、 合 规 审慎 ”的 信息 安全 管理 原则 ， 确 定 了 信息 资产 的 等 级 划分 策略 ， 明 确 了 
对 不 同等 级 信息 资产 的 信息 安全 管理 偏好 ， 为 信息 安全 管理 指明 了 方向 。 

在 信息 安全 管理 策略 的 指引 下 ， 银 行 结合 信息 科技 检查 及 内 外 部 审计 意见 ， 组 织 完 
善 了 信息 安全 制度 框架 体系 ， 按 照 “ 全 面 防范 ， 重 点 突出 ”的 原则 ， 先 后 制定 发 布 了 
一 系列 涉及 物理 安全 、 网 络 安全 、 系 统 安 全 、 桌 面 安全 、 应 用 安全 、 数 据 安全 、 开 发 安 
全 、 运 行 安全 、 风 险 评 佑 、 风 险 处 置 和 应 急 管理 、 信 息 科 技 审计 等 方面 的 信息 安全 管理 
制度 。 具 体内 容 包括 : 按照 银监会 《商业 银行 信息 科技 风险 管理 指引 》， 组 织 制定 了 配 
套 的 信息 安全 和 业务 连续 性 管理 的 政策 、 管 理 办 法 、 操 作 规范 和 指南 ， 构 建 了 全 行 信息 
安全 管理 整体 框架 ， 明 确 了 信息 安全 管理 对 象 、 管 理 角 色 及 各 对 象 全 生命 周期 的 安全 管 
理 要 求 ， 规 范 运 维 中 的 安全 管理 行为 ,统一 全 行 安全 评估 的 尺度 和 方法 ; 明确 应 急 管 理 
要 求 ， 实 行 信息 系统 责任 事故 的 责任 认定 ， 在 员工 行为 准则 中 明确 了 违反 信息 科技 管理 
原则 的 处 罚 办 法 。 

通过 上 述 工作 ,我 国 银行 业 初 步 建 立 了 以 政策 、 制 度 、 标 准 为 导向 的 信息 安全 管理 
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体系 ， 建 立 了 涵盖 开发 、 运 维 、 合 规 、 治 理 全 方位 的 信息 安全 管理 制度 体系 。 


2.4.2 以 国家 等 级 保护 要 求 为 指导 ， 构 建 信息 安全 技术 保障 
体系 


我 国 各 商业 银行 都 全 面 落实 了 国家 信息 系统 安全 等 级 保护 要 求 ， 根 据 国家 信息 安全 
等 级 划分 标准 ， 制 定 信息 系统 安全 技术 基线 ， 明 确 了 不 同安 全 等 级 信息 系统 的 安全 保护 
要 求 ， 编 写 了 信息 系统 安全 技术 选用 指南 ， 明 确 了 实现 信息 系统 安全 要 求 的 技术 方法 ， 
编写 了 信息 系统 安全 产品 选用 指南 ， 明 确 了 信息 技术 所 需 安 全 产品 的 选用 原则 ， 从 而 建 
立 了 从 需求 、 安 全 设计 到 安全 实现 的 整体 安全 建设 流程 。 

1) 构建 了 信息 系统 安全 技术 架构 ， 明 确 了 信息 系统 共有 安全 技术 基础 平台 的 建设 
原则 ， 明 确 了 信息 系统 建设 中 使 用 基础 平台 的 策略 ， 为 安全 技术 整合 、 优 化 提供 了 方 
向 ， 为 银行 信息 系统 安全 技术 应 用 提供 了 指导 原则 。 目 前 ， 已 采用 共性 任务 集中 建设 的 
策略 构建 银行 性 安全 基础 平台 。 统 一 开发 了 用 户 认证 授权 管理 平台 ， 面 向 银行 网 络 、 系 
统 和 应 用 提供 统一 身份 认证 和 权限 控制 服务 ; 统一 开发 了 加 密 安 全 管理 平台 ， 为 各 应 用 
系统 提供 加 密 服 务 ; 银行 引进 部 署 了 数据 安全 传递 和 安全 销毁 工具 ， 为 银行 重要 生产 数 
据 提供 覆盖 全 生命 周期 的 统一 安全 策略 、 数 据 访问 控制 和 数据 防 泄露 等 服务 ; 在 应 用 系 
统 运 维 管理 方面 ， 建 设 运 维 安全 管理 平台 、 日 志 管理 与 安全 事件 监控 系统 ， 提 供 统 一 的 
运 维 操作 授权 、 监 控 和 审计 等 服务 。 

2) 遵循 等 级 化 安全 技术 架构 ， 银 行 采用 纵深 防御 的 策略 构建 信息 运 维 安全 保障 体 
系 ， 与 电信 、 公 安 等 部 门 建立 协 防 机 制 ， 借 助 国家 力量 防范 恶性 及 大 规模 攻击 行为 ， 统 
一 规划 互联 网 、 外 联网 安全 防护 标准 ， 部 署 防火 墙 、 人 入侵 检 测 系 统 、 信 息 过 滤 系 统 、 行 
为 检测 系统 ， 防 范 边界 风险 隐患 ; 加 强 网 上 银行 安全 威胁 发 展 趋势 的 跟踪 、 分 析 和 研 
究 ， 推 动 新 技术 新 产品 在 网 上 银行 等 互联 网 系统 中 的 应 用 ， 加 强 安全 渗透 测试 和 假冒 银 
行 网 站 的 检测 ; 合理 划分 内 部 网 络 区 域 ， 有 效 隔 离 生 产 网 、 办 公 网 和 测试 网 ; 统一 部 署 
构建 桌面 安全 防护 体系 ， 为 银行 计算 机 终端 提供 统一 的 病毒 防范 和 漏洞 补丁 管理 等 服 
务 。 推 进 作业 调度 系统 ， 改 变通 过 手工 或 系统 命令 调度 的 方式 ， 建 设 自动 化 运 维 管理 平 
人 台 ， 实 现 日 常 信息 科技 运 维 中 重复 性 工作 “自动 化 、 集 约 化 、 规 范 化 ”， 避 免 人 为 操作 
带 来 的 安全 隐患 ， 建 立 运 维 监 控 系统 ， 实 现 系统 设备 全 方面 动态 监控 。 

3) 采用 全 生命 周期 管理 策略 构建 软件 安全 开发 体系 ， 建 立 软件 安全 需求 识别 模型 
和 需求 审核 机 制 ， 把 好 软件 安全 需求 审核 关 ; 制定 软件 安全 编码 指南 ， 引 入 软件 代码 安 
全 扫描 工具 ， 把 好 软件 研制 关 ; 引入 Web 应 用 系统 等 渗透 测试 工具 ， 建 立 软件 安全 测 
试 流程 和 渗透 扫描 机 制 ， 把 好 软件 上 线 管理 关 。 

通过 上 述 安 全 措施 ， 各 商业 银行 均 初步 建立 了 涵盖 软件 开发 安全 、 运 维 安全 的 技术 
保障 体系 。 


2.4.3 借鉴 国际 标准 ， 完 善信 息 安 全 开发 和 运 维 


在 系统 安全 开发 和 和 运 维 管理 流程 方面 ， 银 行 已 经 对 项 目 开发 管理 的 可 行 性 研究 、 需 
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求 分 析 、 立 项 评审 、 编 码 安 人 全、 测试、 投产 上 线 等 全 过 程 进 行 了 规范 管理 。 在 项 目 立项 
环节 ， 加 强 了 方案 的 架构 审核 和 安全 评审 ， 严 格 执行 信息 安全 技术 架构 原则 。 在 软件 开 
发 环节 ， 大 力 推广 使 用 代码 检测 技术 和 漏洞 测试 工具 ， 提 高 软件 编码 质量 ， 防 范 软件 开 
发 过 程 中 存在 的 风险 和 漏洞 。 在 测试 管理 上 ， 成 立 了 测试 团队 ， 负 责 跨 系统 的 连接 测 
试 、 集 成 的 功能 和 性 能 测试 及 上 线 版 本 检验 测试 ， 并 对 网 上 银行 等 重点 系统 开展 安全 渗 
透 性 测试 。 在 投产 上 线 前 ， 强 化 上 线 集中 审核 制度 ， 加 强 上 线 前 的 审核 和 控制 ， 防 范 上 
线 过 程 中 和 上 线 后 出 现 的 系统 运行 风险 。 

银行 还 全 面 深 入 开展 运行 精细 化 管理 ， 加 强 系统 运 维 计 划 管 理 。 推 广 ITIL 管理 流 
程 ， 对 系统 运 维 工 作 进行 全 面 梳 理 ， 明 确 主要 问题 和 薄弱 环节， 部署 系 统 运 维 计划 管理 
系统 ， 加 强 变 更 操作 过 程控 制 ， 完 善 变更 审核 流程 等 措施 ， 控 制 变更 操作 风险 ;制定 系 
统 数据 备份 策略 ， 建 立 备份 数据 验证 环境 ， 提 高 数据 安全 保障 能 力 ; 细 化 系统 运行 事件 
分 类 ， 建 立 事件 处 理 知 识 库 ， 提 高 运行 事件 响应 处 理 能 力 ; 优化 岗位 设置 ， 细 化 岗位 职 
责 、 报 告 路 线 、 任 职 资格 和 绩效 考核 指标 ， 不 断 提 高 运 维 人 员 的 工作 责任 心 。 


2.4.4 持续 开展 信息 安全 管理 文化 建设 ， 提 高 全 员 安全 意识 
和 安全 技能 


人 是 信息 安全 管理 中 最 重要 的 因素 ， 银 行 始终 坚持 员工 合 规 管理 和 安全 培训 两 手 
抓 。 加 强 合 规 管理 ， 以 流程 管理 引导 员工 做 正确 的 事 ， 以 严格 制度 促使 员工 规避 风险 。 
加 强 信息 安全 知识 培训 ， 培 训 开 发 人 员 安全 编码 能 力 ， 提 高 软件 安全 质量 ; 编 印 员工 信 
息 安 全 知识 手册 、 信 息 安 全 实务 手册 及 相关 课件 ， 开 展 全 行 信息 安全 知识 竞赛 ， 传 递 信 
息 安全 基础 知识 和 基础 技能 ， 提 高 员工 安全 应 用 信息 系统 的 能 力 ; 加 强 银监会 风险 提示 
宣传 和 内 部 风险 警示 教育 ， 以 典型 事件 教育 、 提 升 全 员 信息 安全 意识 ， 以 常规 化 的 培训 
教育 ， 促 进 信息 安全 管理 文化 的 建设 ， 营 造 “ 人 人 参与 ， 全 员 共 进 ” 的 良好 信息 安全 
管理 氛围 ， 保 障 银行 信息 系统 的 安全 运营 。 


2.4.5 ”全 面 提升 信息 科技 内 控 水 平 


针对 信息 科技 风险 ， 银 监 会 于 2009 年 颁布 了 《商业 银行 信息 科技 风险 管理 指引 》， 
其 中 对 我 国 银行 信息 科技 治理 、 信 息 科 技 风险 管理 、 信 息 安全 、 内 外 部 审计 等 方面 做 出 
了 规定 ， 保 证 银行 信息 技术 (系统 ) 安全 、 持 续 、 稳 健 地 运行 。 

系统 复杂 性 、 过 度 依赖 外 包 及 制度 执行 力 不 足 是 影响 信息 科技 内 控 能 力 的 关键 因 
素 ， 银 行 应 从 加 强 架 构 管 挖 和 系统 整合 、 加 强 自主 运 维和 自主 开发 、 加 强 信 息 科技 检查 
等 方面 控制 上 述 不 利 因素 ， 全 面 提升 信息 科技 内 控 能 

1， 加强 架构 管控 和 系统 整合 

银行 从 发 展 战略 的 高 度 ， 依 据 信息 科技 规划 、 架 构 标 准 及 现 有 的 资源 和 能 力 ， 不 断 
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强化 企业 级 架构 的 管控 规划、 设计 了 企业 级 应 用 架构 、 数 据 架 构 、 技 术 架构 和 安全 架 
构 。 积 极 协调 相关 部 门 共同 推动 需求 整合 ， 在 企业 架构 指导 下 进行 具体 系统 的 实施 ， 并 
通过 架构 管控 落实 信息 安全 政策 、 标 准 和 技术 实现 。 

2. 加 强 信息 科技 队伍 建设 ， 提 高 自主 开发 和 运 维 能 

加 强 银行 信息 技术 条 线 人 员 流 动 ， 从 各 中 心 选拔 经 验 丰富 的 优秀 人 才 充 实 管理 队 
伍 ， 新 进 员工 补充 到 开发 一 线 ， 形 成 合理 的 开发 和 管理 梯队 ; 适度 调度 分 行 开发 人 员 参 
与 总 行 项 目的 开发 工作 ， 优 化 银行 信息 技术 资源 配备 。 参 照 国际 一 流 和 国内 最 佳 做 法 ， 
建立 信息 科技 自主 开发 、 自 主 运 维 能 力 模型 ， 量 化 信息 科技 自主 开发 、 自 主 运 维 评价 指 
标 ， 组 织 开展 信息 科技 自主 开发 、 自 主 运 维 能 力 评价 和 考核 ， 引 导 鼓励 员工 自主 开发 、 
自主 运 维 ， 确 保 信息 系统 核心 能 力 、 安 全 生产 运行 等 关键 环节 掌握 在 本 行 技术 人 员 
手中 。 

3. 定期 开展 信息 科技 检查 

为 了 促进 信息 科技 制度 落实 ， 规 范 信息 科技 合 规 的 检查 管理 ， 银 行 组 织 制定 印发 
《信息 科技 工作 检查 管理 办 法 》 和 《信息 科技 工作 检查 标准 》 等 信息 科技 检查 相关 规章 
制度 ， 明 确 全 行 信息 科技 检查 范围 、 检 查 对 象 、 检 查 频率 及 检查 标准 ， 并 由 总 行 信息 技 
术 管理 部 领导 亲自 带 队 开 展现 场 检 查 ， 指 导 整 改 ， 将 检查 发 现 问题 和 经 验 交流 结果 通报 
全 行 ， 促 进 信息 科技 各 项 制度 的 落实 ， 有 效 防 范 操作 风险 。 


2.4.6 针对 新 形势 积极 探索 信息 安全 应 对 策略 


银行 与 经 济 发 展 密切 相关 ， 银 行 信息 系统 建设 也 始终 围绕 更 好 地 为 客户 经 济 活动 提 
供 金 融 服 务 展开 。 在 “走出 去 ”、 客 户 全 球 化 、 交 易 电 子 化 、 服 务 无 界 化 的 大 背景 下 ， 
银行 业 将 面 对 如 何在 更 开放 的 环境 中 提供 安全 金融 服务 的 挑战 ; 信息 技术 的 迅 独 发展， 
打破 了 原 有 的 业界 信息 安全 基准 ， 公 认 的 验证 完整 性 的 MD5 算法 也 已 在 云 计算 的 背景 
下 被 证 明 存在 安全 缺陷 ， 云 计算 的 兴起 ， 提 供 了 充足 的 计算 资源 ， 使 得 暴力 破解 密码 更 
为 轻松 ， 网 上 唾 手 可 得 的 攻击 工具 和 有 组 织 的 金融 犯罪 等 均 对 银行 信息 安全 防护 提出 了 
严峻 挑 成 ; 同时 ， 面 对 错综复杂 的 金融 环境 ， 合 理 平 衡 安全 与 易 用 的 关系 ， 在 保障 客户 
资金 交易 安全 的 同时 兼顾 客户 便利 也 是 银行 业 面 对 的 长 期 挑战 。 

单纯 的 防御 已 显得 力不从心 ， 面 对 挑战 ， 银 行业 正 采 取 更 加 积极 的 态度 去 面 对 ， 跟 
踪 信 息 技 术 发 展 趋势 ， 及 时 淘汰 落后 的 信息 安全 技术 和 产品 ， 更 新 信息 安全 技术 和 安全 
产品 选用 策略 ， 完 善信 息 安全 技术 和 安全 产品 使 用 指南 ， 提 升 信息 安全 防护 能 力 。 主 要 
表现 在 : 

1) 将 安全 防线 前 移 ， 在 客户 端 引 入 安全 扫描 等 机 制 ， 主 动 评价 客户 平台 安全 状 
况 ， 加 强 客户 平台 准 入 管理 ， 增 强 客户 异常 行为 检查 ， 通 过 识别 客户 交易 时 段 、 地 点 、 
交易 频率 及 额度 等 信息 ， 提 前 预警 防范 风险 ; 加 强 纵深 防御 ， 在 防线 前 移 的 同时 ， 增 加 
百 台 安全 管理 手段 ， 建 立业 务 安 全 监控 机 制 ， 及 时 识别 危险 账户 和 客户 异常 行为 ， 实 现 
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技术 防范 与 业务 交易 安全 监控 联动 ， 更 有 针对 性 地 防范 风险 。 

2) 全 面 贯彻 银监会 对 等 级 保护 和 信息 科技 风险 管理 的 主旨 思想 ,根据 《商业 银行 
言 息 科技 风险 管理 指引 》 的 要 求 ， 按 照 信 息 系统 承载 的 价值 、 一 旦 失效 对 客户 和 社会 
的 影响 进行 信息 系统 等 级 划分 ， 针 对 不 同等 级 的 信息 系统 采取 相应 的 安全 等 级 保护 。 同 
时 ， 应 用 等 级 化 保护 策略 ， 对 客户 账户 类 型 和 客户 风险 承受 能 力 进 行 安全 等 级 划分 ， 区 
别 设置 验证 策略 和 监控 防 控 手 段 ， 更 人 性 化 、 更 安全 地 提供 金融 服务 。 

3) 大 力 改善 基础 设施 。 近 年 来 ， 银 行 持续 推进 灾 备 中 心 建设 ， 组 织 制定 了 信息 科 
技 服 务 连续 性 建设 近 、 中 、 远 期 目标 ， 明 确 了 生产 与 灾 备 中 心 布局 策略 及 总 、 分 行 信息 
系统 灾 备 建设 策略 ， 确 立 了 信息 系统 灾 备 分 级 及 恢复 策略 ， 完 成 了 信息 科技 系统 灾 备 总 
体 方案 ， 明 确 了 灾 备 体系 实施 路 径 。 目 前 ， 各 商业 银行 数据 中 心 均 符合 国家 最 新 A 类 
机 房 建设 标准 ， 数 据 中 心 运行 环境 得 到 了 极 大 改善 ; 银行 分 布 在 全 国 的 各 家 分 行 机 房 也 
在 陆续 的 改造 和 设备 更 新 中 ， 逐 步 消除 了 机 房 容 量 不 足 、 设 备 老 化 、 电 力 保障 薄弱 、 缺 
乏 双 回路 等 隐患 ， 改 善 了 我 国 银行 信息 科技 运行 环境 。 

4) 开展 重要 信息 系统 风险 排查 和 整改 优化 。 各 商业 银行 能 够 有 效 落实 银监会 发 布 
的 风险 警示 ， 吸 取 业 界 信息 安全 事件 经 验 教训 ， 对 信息 服务 的 关键 系统 进行 了 全 面 梳 
理 ， 组 织 系统 失效 点 排查 、 系 统 高 可 用 性 设计 分 析 、 服 务 接口 安全 风险 分 析 ， 评 析 系 统 
故障 发 生 后 的 业务 影响 ， 制 定 系统 优化 改进 方案 ， 组 织 系 统 优化 ， 增 强 系 统 可 用 性 。 
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管理 篇 


本 篇 从 信息 安全 管理 角度 出 发 ， 将 银行 信息 安全 管理 体系 作为 一 个 整体 ， 系 统 
地 分 析 了 银行 信 ， ， 并 给 出 了 信息 安全 管理 体系 参考 
的 框架 结构 。 在 此 基础 上 ， 本 篇 就 信息 安全 管理 的 各 个 组 成 模块 进行 了 详细 介绍 ， 
包括 信息 安全 方针 、 信 息 安 全 组 织 及 人 员 安 全 管理 、 信 息 安全 管理 制度 、 信 息 安全 
风险 管理 、 信 息 安 全 规划 与 建设 、 信 息 安全 监控 与 监察 、 信 息 安 全 事件 管理 与 应 急 
响应 、 信 息 系 统 灾 难 恢复 管理 及 信息 安全 审计 等 内 容 。 


第 3 章 银行 信息 安全 管理 体系 参考 框架 
第 4 章 信息 安全 方针 


第 5 章 信息 安全 组 织 及 人 员 安 全 管理 
第 6 章 信息 安全 管理 制度 
第 7 章 信息 安全 风险 管 


第 8 章 信息 安全 规划 与 建设 

第 9 章 信息 安全 监控 与 检查 

第 10 章 ”信息 安全 事件 管理 

业务 连续 性 与 灾难 恢复 管理 
言 息 


第 3 各 
银行 信息 安全 管理 体系 参考 框架 


言 息 安全 包含 的 内 容 相当 广 泛 ， 以 各 自 独 立 的 视角 去 看 待 信息 安全 就 会 只 见 树木 不 
见 森 林 。 因 此 ， 应 将 银行 信息 安全 管理 当 作 一 个 整体 加 以 研究 和 应 用 。 

言 息 安全 管理 体系 参考 框架 就 是 从 整体 上 去 看 待 银行 信息 安全 的 所 有 工作 。 由 于 每 
家 银行 都 具有 各 自 不 同 的 特点 ， 因 此 并 不 存在 一 个 统一 的 信息 安全 管理 体系 适合 所 有 银 
行 。 本 章 提出 的 信息 安全 管理 体系 参考 框架 ， 对 银行 业 信 息 安 全 管理 体系 进行 了 提炼 ， 
在 框架 层面 具有 普遍 性 ， 但 是 每 家 银行 在 进行 信息 安全 管理 体系 建设 时 ， 需 要 根据 自身 
实际 对 具体 内 容 进行 修改 、 调 整 和 细 化 。 本 章 先 是 介绍 了 信息 安全 管理 体系 的 各 种 参考 
标准 ， 然 后 在 此 基础 上 根据 银行 业 的 特点 ， 对 银行 业 信 息 安全 管理 体系 参考 框架 进行 了 
总 结 和 描述 。 


3.1 信息 安全 管理 体系 参考 标准 和 规范 


3.1.1 银行 业 信 息 科技 风险 管理 指引 


2006 年 9 月 ， 为 有 效 防范 银行 业 金 融 机 构 运用 信息 系统 进行 业务 处 理 、 经 营 管理 
和 内 部 控制 过 程 中 产生 的 风险 ， 促 进 我 国 银行 业 安 全 、 持 续 、 稳 健 运 行 ， 银 监 会 印发 了 
银 监 发 [2006] 第 63 号 文 ， 即 《银行 业 金融 机 构 信 息 系 统 风 险 管理 指引 》。 

2009 年 6 月 ， 为 加 强 商业 银行 信息 科技 风险 管理 ， 根 据 《 中 华人 民 共 和 国 银行 业 监督 
管理 法 》 《中华 人民 共和 国 商 业 银行 法 》《 中 华人 民 共 和 国外 资 银行 管理 条 例 》 及 国家 信息 
安全 相关 要 求 和 有 关 法 律 法 规 ， 银 监 会 印发 了 银 监 发 [2009] 第 19 号 文 ， 即 《商业 银行 
言 息 科 技 风 险 管理 指引 》， 以 替代 旧 的 《银行 业 金 融 机 构 信 息 系统 风险 管理 指引 》。 

新 《指引 》 针 对 银行 业 信 息 科技 风险 特点 ， 提 出 了 “三 道 防线 ”的 思路 。“ 三 道 防 
线 ”是 按照 目前 普遍 的 一 种 安全 模式 进行 的 设计 ， 第 一 道 防线 一 事先 监控 ， 即 银行 
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言 息 科技 部 门 的 自我 管理 ;第 二 道 防线 一 一 事 中 管理 ， 即 风险 管理 部 门 如 何 督 保科 技 部 
门 进 行 管理 ， 风 险 管理 部 门 会 提供 一 些 管理 工具 、 思 路 和 框架 ; 第 三 道 防线 一 一 事后 审 
计 ， 审 计 部 门 独立 于 上 述 两 个 部 门 之 外 ， 对 两 部 门 执行 情况 进行 评价 。 因 此 三 道 防线 其 
实 是 将 信息 科技 管理 、 信 息 科技 风险 管理 、 信 息 科技 风险 审计 统一 纳入 风险 管控 。 通 过 
这 样 的 思想 ， 可 以 很 好 地 解决 银行 重建 设 、 轻 管理 、 重 开发 、 轻 运 维 的 不 足 。 

《商业 银行 信息 科技 风险 管理 指引 》 包 括 了 以 下 内 容 : 

第 一 章 总则。 本 章 对 《商业 银行 信息 科技 风险 管理 指引 》 进 行 了 总 体 说 明和 术 
语 定义 。 

第 二 章 ”信息 科技 治理 。 本 章 对 商业 银行 在 信息 科技 治理 方面 提出 了 相应 的 要 求 ， 
包括 法 定 代 表 人 、 董 事 会 、 首 席 信息 官 、 信 息 科技 风险 管理 部 门 、 信 息 科技 风险 审计 等 
高 层 人 员 和 相关 部 门 在 信息 科技 风险 上 的 职责 和 义务 。 

第 三 章 ”信息 科技 风险 管理 。 本 章 对 商业 银行 的 具体 风险 管理 工作 提出 了 要 求 ， 包 
括 信 息 科技 风险 管理 策略 、 风 险 识 别 和 评估 流程 、 风 险 防范 措施 、 信 息 科 技 风险 计量 和 
监测 机 制 。 

第 四 章 ”信息 安全 。 本 章 对 商业 银行 信息 安全 工作 提出 了 要 求 ， 包 括 信 息 分 类 保 
护 、 人 员 培 训 、 信 息 安全 流程 、 物 理 安全 、 网 络 安全 、 系 统 应 用 安全 、 安 全 日 志 记录 和 
加 密 、 终 端 安全 等 内 容 。 

第 五 章 ”信息 系统 开发 、 测 试 和 维护 。 本 章 对 商业 银行 在 信息 系统 的 生命 周期 安全 
控制 方面 提出 了 和 要求， 包括 信息 系统 需求 人 分析、 规划、 采购、 开发、 测试、 部署 、 维 
护 、 升 级 和 报废 等 阶段 的 要 求 。 

第 六 章 ”信息 科技 运行 。 本 章 对 商业 银行 在 信息 科技 日 常 运行 过 程 中 的 要 求 进 
规定 。 包 括 物 理 环境 选择 、 职 责 分 离 规定 、 交 易 记 录 保 存 、 信 息 安 全 事故 管理 、 性 
容量 管理 、 变 更 管理 等 。 

第 七 曹 ”业务 连续 性 管理 。 本 章 对 商业 银行 在 业务 连续 性 方面 的 工作 提出 了 要 求 ， 
包括 业务 连续 性 计划 、 资 源 提供 、 演 练 和 培训 等 。 

第 八 曹 ”外包 管理 。 本 童 对 商业 银行 在 外 包 管理 方面 提出 了 相应 要 求 。 

第 九 章 ”内 部 审计 和 第 十 章 ”外 部 审计 。 分 别 对 内 、 外 部 信息 科技 审计 提出 了 要 求 。 

第 十 一 草 附则。 本章 明 确 了 银监会 监督 检查 、 解 释 等 职责 ， 对 《指引 》 的 施行 
等 内 容 进 行 了 规定 。 

在 《商业 银行 信息 科技 风险 管理 指引 》 的 第 四 章 ， 对 于 信息 安全 管理 进行 了 相应 
描述 ， 指 出 信息 安全 策略 应 涉及 以 下 领域 : 

(一 ) 安全 制度 管理 

(二 ) 信息 安全 组 织 管理 

(三 ) 资产 管理 

(四 ) 人 员 安 全 管理 

(五 ) 物理 与 环境 安全 管理 


(六 ) 通信 与 运营 管理 


行 了 
能 及 
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(七 ) 访问 控制 管理 

( 八 ) 系统 开发 与 维护 管理 
( 九 ) 信息 安全 事件 管理 
(十 ) 业务 连续 性 管理 
(十 一 ) 合 规 性 管理 


3.1.2 等 级 保护 


1. 等 级 保护 概述 

言 息 安 全 等 级 保护 制度 是 国家 信息 安全 保障 工作 的 基本 制度 、 基 本 策略 和 基本 方法 ， 
是 促进 信息 化 健康 发 展 ， 维 护 国家 安全 、 社 会 秩序 和 公共 利益 的 根本 保障 。 国 务 院 法 规 和 
中 央 文 件 明 确 规定 ， 要 实行 信息 安全 等 级 保护 ， 重 点 保护 基础 信息 网 络 和 关系 国家 安全 、 
经 济 命脉 、 社 会 稳定 等 方面 的 重要 信息 系统 ， 抓 紧 建立 信息 安全 等 级 保护 制度 。 信 息 安 全 
等 级 保护 是 当今 发 达 国 家 保护 关键 信息 基础 设施 、 保 障 信息 安全 的 通行 做 法 ， 也 是 我 国 多 
年 来 信息 安全 工作 经 验 的 总 结 。 开 展 信 息 安 全 等 级 保护 工作 不 仅 是 保障 重要 信息 系统 安 
全 的 重大 措施 ， 也 是 一 项 事 关 国 家 安全 、 社 会 稳定 、 国 家 利益 的 重要 任务 。 

为 组 织 各 单位 、 各 部 门 开展 信息 安全 等 级 保护 工作 ， 公 安 部 根据 法 律 授权 ， 会 同 国 
家 保密 局 、 国 家 商用 密码 管理 办 公 室 和 原 国 务 院 信 息 办 组 织 开展 了 基础 调查 、 等 级 保护 
试点 、 信 息 系 统 定 级 备案 、 安 全 建设 整改 等 重要 工作 ， 出 台 了 一 系列 政策 文件 ， 构 成 了 
言 息 安全 等 级 保护 政策 体系 ， 为 指导 各 地 区 、 各 部 门 开 展 等 级 保护 工作 提供 了 政策 保 
障 。 同 时 ， 在 国内 有 关 部 门 、 专 家 、 企 业 的 共同 努力 下 ， 公 安 部 和 标准 化 工作 部 门 组 织 
制定 了 信息 安全 等 级 保护 工作 需要 的 一 系列 标准 ， 形 成 了 信息 安全 等 级 保护 标准 体系 ， 
为 开展 信息 安全 等 级 保护 工作 提供 了 标准 保障 。 

言 息 安 全 等 级 保护 广义 上 指 涉及 该 工作 的 标准 、 产 品 、 系 统 、 信 息 等 均 依据 等 级 保 
护 思想 的 安全 工作 ; 狭义 上 一 般 指 信息 系统 安全 等 级 保护 ， 是 指 对 国家 安全 、 法 人 和 其 
他 组 织 及 公民 的 专 有 信息 及 公开 信息 和 存储 、 传 输 、 处 理 这 些 信息 的 信息 系统 分 等 级 实 
行 安全 保护 ， 对 信息 系统 中 使 用 的 信息 安全 产品 实行 按 等 级 管理 ， 对 信息 系统 中 发 生 的 
言 息 安全 事件 分 等 级 响应 并 处 置 的 综合 性 工作 。 

2. 等 级 保护 的 等 级 划分 

《信息 安全 等 级 保护 管理 办 法 》 规 定 ， 国 家 信息 安全 等 级 保护 坚持 自主 定 级 、 自 主 
保护 的 原则 。 信 息 系 统 的 安全 保护 等 级 应 当 根据 信息 系统 在 国家 安全 、 经 济 建设 、 社 会 
生活 中 的 重要 程度 和 信息 系统 遭 到 破坏 后 对 国家 安全 、 社 会 秩序 、 公 共 利 益 及 公民 、 法 
人 和 其 他 组 织 的 合法 权益 的 危害 程度 等 因素 确定 。 

言 息 系统 的 安全 保护 等 级 分 为 以 下 五 级 : 

第 一 级 ， 信 息 系统 受到 破坏 后 ， 会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 损害 ， 
但 不 损害 国家 安全 、 社 会 秩序 和 公共 利益 。 
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第 二 级 ,信息 系统 受到 破坏 后 ， 会 对 公民 、 法 人 和 其 他 组 织 的 合法 权益 造成 严重 损 
害 ， 或 者 对 社会 秩序 和 公共 利益 造成 损害 ， 但 不 损害 国家 安全 。 

第 三 级 ， 信 息 系 统 受到 破坏 后 ， 会 对 社会 秩序 和 公共 利益 造成 严重 损害 ， 或 者 对 国 
家 安全 造成 损害 。 

第 四 级 ， 信 息 系 统 受 到 破坏 后 ， 会 对 社会 秩序 和 公共 利益 造成 特别 严重 损害 ， 或 者 
对 国家 安全 造成 严重 损害 。 

第 五 级 ， 信 息 系 统 受到 破坏 后 ， 会 对 国家 安全 造成 特别 严重 损害 。 

3. 信息 系统 安全 保护 等 级 的 定 级 要 素 

言 息 系统 的 安全 保护 等 级 由 两 个 定 级 要 素 决 定 : 等 级 保护 对 象 受到 破坏 时 所 侵害 的 
客体 和 对 客体 造成 侵害 的 程度 。 

(1) 受 侵害 的 客体 ”等 级 保护 对 象 受 到 破坏 时 所 侵害 的 客体 包括 以 下 3 个 方面 : 

1) 公民 、 法 人 和 其 他 组 织 的 合法 权益 。 

2) 社会 秩序 、 公 共 利 益 。 

3) 国家 安全 。 

(2) 对 客体 的 侵害 程度 ”对 客体 的 侵害 程度 由 客观 方面 的 不 同 外 在 表现 综合 决定 。 
由 于 对 客体 的 侵害 是 通过 对 等 级 保护 对 象 的 破坏 实现 的 ， 因 此 ， 对 客体 的 侵害 外 在 表现 
为 对 等 级 保护 对 象 的 破坏 ， 通 过 危害 方式 、 危 害 后 果 和 危害 程度 加 以 描述 。 等 级 保护 对 
象 受到 破坏 后 对 客体 造成 侵害 的 程度 归结 为 以 下 三 种 : 

1) 造成 一 般 损害 。 

2) 造成 严重 损害 。 

3) 造成 特别 严重 损害 。 

4. 等 级 保护 的 一 般 流 程 

言 息 系统 安全 包括 业务 信息 安全 和 系统 服务 安全 ， 与 之 相关 的 受 侵害 客体 和 对 客体 的 侵 
害 程度 可 能 不 同 ， 因 此 ， 信 息 系统 定 级 也 应 由 业务 信息 安全 和 系统 服务 安全 两 方面 确定 。 

从 业务 信息 安全 角度 反映 的 信息 系统 安全 保护 等 级 称 为 业务 信息 安全 保护 等 级 。 从 
系统 服务 安全 角度 反映 的 信息 系统 安全 保护 等 级 称 为 系统 服务 安全 保护 等 级 。 确 定 信息 
系统 安全 保护 等 级 的 一 般 流程 如 下 : 

1) 确定 作为 定 级 对 象 的 信息 系统 。 

2) 确定 业务 信息 安全 受到 破坏 时 所 侵害 的 客体 。 

3) 根据 不 同 的 受 侵害 客体 ， 从 多 个 方面 综合 评定 业务 信息 安全 被 破坏 对 客体 的 侵 


4) 得 到 业务 信息 安全 保护 等 级 。 
5) 确定 系统 服务 安全 受到 破坏 时 所 侵害 的 客体 。 
6) 根据 不 同 的 受 侵害 客体 ， 从 多 个 方面 综合 评定 系统 服务 安全 被 破坏 对 客体 的 侵 
害 程度 。 
7) 得 到 系统 服务 安全 保护 等 级 。 
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8) 将 业务 信息 安全 保护 等 级 和 系统 服务 安全 保护 等 级 的 较 高 者 确定 为 定 级 对 象 的 
安全 保护 等 级 。 

S. 等 级 保护 的 实施 原则 

根据 《信息 系统 安全 等 级 保护 实施 指南 》， 信 息 系 统 安全 等 级 保护 实施 过 程 中 ， 应 
坚持 以 下 基本 原则 . 

1) 自主 保护 原则 : 信息 系统 运营 、 使 用 单位 及 其 主管 部 门 按照 国家 相关 法 规 和 标 
准 ， 自 主 确定 信息 系统 的 安全 保护 等 级 ， 自 行 组 织 实施 安全 保护 。 

2) 重点 保护 原则 : 根据 信息 系统 的 重要 程度 、 业 务 特点 ， 通 过 划分 不 同安 全 保护 
等 级 的 信息 系统 ， 实 现 不 同 强度 的 安全 保护 ， 集 中 资源 优先 保护 涉及 核心 业务 或 关键 信 
息 资 产 的 信息 系统 。 

3) 同步 建设 原则 : 信息 系统 在 新 建 、 改 建 、 扩 建 时 应 当 同 步 规 划 和 设计 安全 方 
案 , 投入 一 定 比 例 的 资金 建设 信息 安全 设施 ,保障 信息 安全 与 信息 化 建设 相 适 应 。 

4) 动态 调整 原则 :要 跟踪 信息 系统 的 变化 情况 ， 调 整 安全 保护 措施 。 由 于 信息 系 
统 的 应 用 类 型 、 范 围 等 条 件 的 变化 及 其 他 原因 ， 安 全 保护 等 级 需要 变更 的 ， 应 当 根 据 等 
级 保护 的 管理 规范 和 技术 标准 的 要 求 ， 重 新 确定 信息 系统 的 安全 保护 等 级 ， 根 据 信息 系 
统 安全 保护 等 级 的 调整 情况 ， 重 新 实施 安全 保护 。 

6. 等 级 保护 基本 要 求 

言 息 系 统 安全 等 级 保护 应 依据 信息 系统 的 安全 保护 等 级 情况 保证 它们 具有 相应 等 级 
的 基本 安全 保护 能 力 ， 不 同安 全 保护 等 级 的 信息 系统 要 求 具有 不 同 的 安全 保护 能 

基本 安全 要 求 是 针对 不 同安 全 保护 等 级 信息 系统 应 该 具有 的 基本 安全 保护 能 力 提出 
的 安全 要 求 ， 根 据 实现 方式 的 不 同 ， 基 本 安全 要 求 分 为 基本 技术 要 求 和 基本 管理 要 求 两 
大 类 。 技 术 类 安全 要 求 与 信息 系统 提供 的 技术 安全 机 制 有 关 ， 主 要 通过 在 信息 系统 中 部 
署 软 硬 件 并 正确 地 配置 其 安全 功能 来 实现 ;管理 类 安全 要 求 与 信息 系统 中 各 种 角色 参与 
的 活动 有 关 ， 主 要 通过 控制 各 种 角色 的 活动 ， 从 政策 、 制 度 、 规 范 、 流 程 及 记录 等 方面 
做 出 规定 来 实现 。 

基本 技术 要 求 从 物理 安全 、 网 络 安全 、 主 机 安全 、 应 用 安全 和 数据 安全 几 个 层面 提 
出 ; 基本 管理 要 求 从 安全 管理 制度 、 安 全 管理 机 构 、 人 员 安 全 管理 、 系 统 建设 管理 和 系 
统 运 维 管理 几 个 方面 提出 ; 基本 技术 要 求 和 基本 管理 要 求 是 确保 信息 系统 安全 不 可 分 割 
的 两 个 部 分 。 

基本 安全 要 求 从 各 个 层面 或 方面 提出 了 系统 的 每 个 组 件 应 该 满足 的 安全 要 求 ， 信 息 
系统 具有 的 整体 安全 保护 能 力 通过 不 同 组 件 实现 基本 安全 要 求 来 保证 。 除 了 保证 系统 的 
每 个 组 件 满足 基本 安全 要 求 外 ， 还 要 考虑 组 件 之 间 的 相互 关系 ， 来 保证 信息 系统 的 整体 
安全 保护 能 力 。 


3.1.3 ISO/IEC 27001 


ISOAIEC 27001 是 针对 信息 安全 管理 体系 要 求 的 国际 标准 ， 其 前 身 为 英国 的 BS 
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7799 标准 ， 该 标准 由 英国 标准 协会 (BSI) 于 1995 年 2 月 提出 ， 并 于 1995 年 5 月 修订 
而 成 。1999 年 BSI 重新 修改 了 该 标准 。BS 7799 分 为 两 个 部 分 : BS 7799-1， 信 息 安 全 
管理 实施 规则 ; BS 7799-2， 信 息 安全 管理 体系 规范 。 

第 一 部 分 对 信息 安全 管理 给 出 建议 ， 供 负责 在 其 组 织 启动 、 实 施 或 维护 安全 的 人 员 
使 用 ; 第 二 部 分 说 明了 建立 、 实 施 和 文件 化 信息 安全 管理 体系 的 要 求 ， 规 定 了 根据 独立 
组 织 的 需要 应 实施 安全 控制 的 要 求 。 

BS 7799-1 与 BS 7799-2 经 过 修订 于 1999 年 重新 发 布 ，1999 版 考虑 了 信息 处 理 技 
术 ， 尤 其 是 在 网 络 和 通信 领域 应 用 的 近期 发 展 ， 同 时 还 非常 强调 了 商务 涉及 的 信息 安全 
及 信息 安全 的 责任 。 

2000 年 12 月 ，BS 7799-1: 1999《 信 息 安全 管理 实施 细则 》 通 过 了 国际 标准 化 组 织 
ISO 的 认可 ， 正 式 成 为 国际 标准 一 -ISOZIEC 17799: 2000《 信 息 技术 一 信息 安全 管理 实 
施 细 则 》。2002 年 9 月 5 日 ，BS 7799-2: 2002 草案 经 过 广泛 的 讨论 之 后 ， 终 于 发 布 成 
为 正式 标准 ， 同 时 BS 7799-2: 1999 被 废止 。2004 年 9 月 5 日 ，BS 7799-2: 2002 正式 
发 布 。2005 年 ，BS 7799-2: 2002 终于 被 ISO 组 织 所 采纳 ， 于 同年 10 月 推出 ISOZIEC 
27001: 2005。 

2005 年 6 月 ，ISO/IEC 17799 : 2000 经 过 改版 ， 形 成 了 新 的 ISOZIEC 17799 : 2005 ， 
新 版 本 较 老 版 本 无 论 是 组 织 编排 还 是 内 容 完整 性 上 都 有 了 很 大 的 增强 和 提升 。ISOZIEC 
17799: 2005 已 更 新 并 在 2007 年 7 月 1 日 正式 发 布 为 ISO/ZIEC 27002: 2005， 这 次 更 新 
只 是 改变 了 标准 号 ， 内 容 并 没有 改变 。 

2013 年 10 月 1 日 ,国际 标准 化 组 织 ISO 发 布 了 ISOZIEC 27001: 2013 《信息 技 
术 一 安全 技术 一 信息 安全 一 管理 体系 一 要 求 》 (Information technology 一 Security tech- 
nique 一 Information security management systems 一 Requirement ) 。 该 标准 代替 了 ISOZIEC 
27001: 2005。 我 国正 按照 等 同 采 用 的 原则 ， 由 全 国信 息 安全 标准 化 技术 委员 会 (SAC/ 
TC260) 负责 将 ISOZIEC 27001 : 2013 转换 为 国家 标准 ( 即 新 版 GBAT 22080 ) ， 以 代替 
原 GB/T 22080 一 2008。2013 年 10 月 国际 认可 论坛 (IAF) 成 员 大 会 ， 通 过 了 有 关 ISO/ 
IEC 27001: 2013 转换 的 决议 (编号 为 : IAF Resolution 2013-13 ) 。 该 决议 规定 : 

1) 符合 ISOZIEC 27001 : 2013 的 截止 日 为 该 标准 发 布 之 后 的 2 年 ， 即 转换 截止 日 
期 为 2015 年 9 月 30 日 。 

2) 自 该 标准 发 布 一 年 后 ( 即 2014 年 10 月 1 日 )， 所 有 新 颁发 的 、 获 认可 的 认证 
证 书 均 应 依据 ISOZIEC 27001: 2013。 

ISO/AIEC 27001 : 2013 标准 第 4 ~7 章 ， 说 明 管理 体系 的 一 般 要 求 ， 包 括 组 织 的 情 
境 、 领 导 力 、 策 划 和 支持 ;标准 第 8 章 ， 描 述 言 息 安 全 管理 体系 ( Information Security 
Management System，ISMS) 实施 要 求 ， 包 括 信息 安全 风险 评估 和 处 置 ; 标准 第 9 章 ， 
描述 监视 、 测 量 和 评审 活动 的 要 求 ; 标准 第 10 章 ， 描 述 改善 活动 的 要 求 ; 其 中 ， 取 消 
了 关于 预防 措施 的 内 容 。 新 版 ISOZIEC 27001: 2013 标准 中 ， 信 息 安 全 风险 管理 要 求 与 
ISO 31000: 2009《 风 险 管理 一 一 原则 与 实施 指南 》 (Risk management 一 Principles and 
guidelines) 保持 一 致 ， 并 遵从 其 中 的 定义 。 
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在 ISOZIEC 27001: 2013 标准 中 明确 了 以 下 要 求 ， 

组 织 应 确定 如 何 确定 其 信息 安全 风险 评估 和 处 置 过 程 的 可 靠 性 。 适 用 时 ， 组 织 应 调 
整 信息 安全 风险 评估 和 处 置 过 程 及 采用 的 方法 ， 以 改善 过 程 的 可 靠 性 。 新 版 ISO/IEC 
27001 依然 会 保留 SOA 和 附录 A 控制 目标 、 控 制 措施 的 架构 。 

(1) 安全 策略 ”制定 信息 安全 方针 ， 为 信息 安全 提供 管理 指引 和 支持 ， 并 定期 
评审 。 

(2) 信息 安全 的 组 织 ”建立 信息 安全 管理 组 织 体系 ， 在 内 部 开展 和 控制 信息 安全 
的 实施 。 

(3) 人 力 资源 安全 确保 所 有 员工 、 合 同方 和 第 三 方 了 解 信 息 安全 威胁 和 相关 事 
宜 及 各 自 的 责任 和 义务 ， 以 减少 人 为 差错 、 盗 穷 、 欺 诈 或 误 用 设施 的 风险 。 

(4) 资产 管理 ”核查 所 有 信息 资产 ,做 好 信息 分 类 ,确保 信 息 资产 受到 适当 程度 
的 保护 。 

(5) 访问 控制 ”制定 访问 控制 策略 ， 避 免 信 息 系 统 的 非 授 权 访 问 ， 并 让 用 户 了 解 
其 职责 和 义务 ， 包 括 网 络 访问 控制 ， 操 作 系 统 访问 控制 ， 应 用 系统 和 信息 访问 控制 ， 监 
视 系统 访问 和 使 用 ， 定 期 检测 未 授权 的 活动 ， 当 使 用 移动 办 公 和 远程 控制 时 ， 也 要 确保 
信息 安全 。 

(6) 密码 确保 适当 和 有 效 地 使 用 密码 ， 保 护 信 息 的 保密 性 、 真 实 性 或 完整 性 。 

(7) 物理 和 环境 安全 定义 安全 区 域 ,， 防止 对 办 公 场 所 和 信息 的 未 授权 访问 、 破 
坏 和 干扰 ; 保护 设备 的 安全 ， 防 止 信息 资产 的 丢失 、 损 坏 或 被 盗 ， 防 止 对 企业 业务 的 干 
扰 ; 同时 ， 还 要 做 好 一 般 控制 ， 防 止 信息 和 信息 处 理 设施 的 损坏 和 被 盗 。 

(8) 操作 管理 制定 操作 规程 和 职责 ， 确 保 信 息 处 理 设施 的 正确 和 安全 操作 ; 建 
立 系统 规划 和 验收 准则 ， 将 系统 失效 的 风险 降 到 最 低 ; 防范 恶意 代码 和 移动 代码 ， 保 护 
软件 和 信息 的 完整 性 ; 做 好 信息 备份 和 网 络 安全 管理 ， 确 保 信息 在 网 络 中 的 安全 ， 确 保 
其 支持 性 基础 设施 得 到 保护 ;建立 媒体 处 置 和 安全 的 规程 ， 防 止 资 产 损坏 和 业务 活动 的 
中 断 ; 防 止 信息 和 软件 在 组 织 之 间 交 换 时 丢失 、 修 改 或 误 用 。 

(9) 通信 安全 通信 安全 是 确保 正确 、 安 全 地 维护 组 织 与 任何 外 部 实体 的 信息 传 
输 安全 ， 确 保 网 络 和 其 支持 信息 处 理 设施 中 信息 的 保护 。 

(10) 系统 采集 、 开 发 和 维护 ”标示 系统 的 安全 要 求 ， 确 保安 全 成 为 信息 系统 的 内 
置 部 分 ， 控 制 应 用 系统 的 安全 ， 防 止 应 用 系统 中 用 户 数据 的 丢失 、 修 改 或 误 用 ; 通过 加 
密 手 段 保护 信息 的 保密 性 、 真 实 性 和 完整 性 ; 控制 对 系统 文件 的 访问 ， 确 保 系统 文档 、 
源 程 序 代 码 的 安全 ; 严格 控制 开发 和 支持 过 程 ， 维 护 应 用 系统 软件 和 信息 安全 。 

(11) 供 方 关系 ”确保 保护 供 方 访问 的 组 织 资产 的 安全 ， 根 据 供应 商 协议 ， 维 护 信 
息 安 全 和 服务 交付 的 商定 水 平 。 

(12) 信息 安全 事件 管理 ”报告 信息 安全 事件 和 弱点 ， 及 时 采取 纠正 措施 ， 确 保 使 
用 持续 有 效 的 方法 管理 信息 安全 事件 ， 并 确保 及 时 修复 。 

(13) 业务 连续 性 管理 ”目的 是 减少 业务 活动 的 中 断 ， 使 关键 业务 过 程 免 受 主要 故 
障 或 天 灾 的 影响 ， 并 确保 及 时 恢复 。 
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(14) 符合 性 ”信息 系统 的 设计 、 操 作 、 使 用 过 程 和 管理 要 符合 法 律 法 规 的 要 求 ， 
合 组 织 安全 方针 和 标准 ， 还 要 控制 系统 审计 ， 使 信息 审核 过 程 的 效力 最 大 化 ,干扰 最 
化 。 

除了 ISOZIEC 27001，ISOZIEC 27000 包括 一 系列 标准 : 

ISOAIEC 27000 信息 安全 管理 体系 一 概述 与 术语 (ISMS Overview and vocabulary) 

ISOZIEC 27001 信息 安全 管理 体系 一 要 求 (ISMS Requirements) (以 BS 7799-2 为 基础 ) 

ISOZIEC 27002 信息 安全 管理 实践 规范 (Code of practice for inform ation security man- 
age ment) (ISO/IEC 17799. 2005 ) 

ISOAIEC 27003 信息 安全 管理 体系 一 实施 指南 (ISMS Implementation guidance) 

ISOZIEC 27004 信息 安全 一 测量 (Information security 一 Measurement ) 

ISOZIEC 27005 信息 安全 风险 管理 (Information security risk management ) 

ISOZEEC 27006 信息 安全 管理 体系 一 认证 机 构 的 认可 要 求 (Requirements for bodies 
providing audit and certification of information security management systems ) 

ISOZEC 27007 信息 安全 管理 体系 审核 员 指 南 ( Guidelines for information security 


management systems auditing) 


~ 二 
全 碟 


3.1.4 COSO 


COSO 是 美国 反 虚 假 财务 报 告 委员 会 下 属 的 发 起 人 委员 会 (The Committee of Spon- 
soring Organizations of the Treadway Commission) 的 英文 缩写 。1985 年 ， 由 美国 注册 会 计 
师 协 会 、 美 国会 计 协会 、 财 务 经 理 人 协会 、 内 部 审计 师 协 会 、 管 理会 计 师 协会 联合 创建 
了 反 虚 假 财务 报告 委员 会 ， 旨 在 探讨 财务 报告 中 的 共 谋 产生 的 原因 ， 并 寻找 解决 之 道 。 
两 年 后 ， 基 于 该 委员 会 的 建议 ， 其 赞助 机 构成 立 COSO 委员 会 ， 专 门 研究 内 部 控制 问 
题 。1992 年 9 月 ，COSO 委员 会 发 布 《 内 部 控制 整合 框架 》>， 简 称 COSO 报告 ，1994 年 
进行 了 增补 。 

COSO 委员 会 从 2001 年 起 开始 进行 企业 风险 管理 方面 的 研究 ， 在 2003 年 7 月 完成 
了 《企业 风险 管理 框架 (草案)》 并 公开 向 业界 征求 意见 。2004 年 4 月 美国 COSO 委员 
会 在 《内 部 控制 整体 框架 》 的 基础 上 ,结合 《了 萨 班 斯 一 奥克斯 法 案 》 (Sarbanes 一 Oxley 
Act) 在 报告 方面 的 要 求 ， 同 时 吸收 各 方面 风险 管理 研究 成 果 ， 颁布 了 《企业 风险 管理 
框架 》( Enterprise Risk Management Framework ) ， 旨 在 为 各 国 的 企业 风险 管理 提供 一 个 
统一 术语 与 概念 体系 的 全 面 的 应 用 指南 。 

COSO 和 《企业 风险 管理 框架 》 的 基本 内 容 包括 : 

1. 控制 环境 (control environment) 

它 包括 组 织 人 员 的 诚实 、 伦 理 价 值 和 能 力 ; 管理 层 哲学 和 经 营 模式 ; 管理 层 分 配 权 
限 和 责任 、 组 织 、 发 展 员工 的 方式 ; 董事 会 提供 的 关注 和 方向 。 控 制 环境 影响 员工 的 管 
理 意 识 ， 是 其 他 部 分 的 基础 。 
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2. 风险 评估 (risk assessment ) 

风险 评估 是 确认 和 分 析 实 现 目 标 过 程 中 的 相关 风险 ， 是 形成 管理 何 种 风险 的 依据 。 
它 随 经 济 、 行 业 、 监 管 和 经 营 条 件 而 不 断 变 化 ， 需 建立 一 套 机 制 来 辨认 和 处 理 相 应 的 
风险 。 

3. 控制 活动 (control activities) 

控制 活动 是 帮助 执行 管理 指令 的 政策 和 程序 。 它 贯穿 整个 组 织 、 各 种 层次 和 功能 ， 
包括 各 种 活动 ， 如 批准 、 授 权 、 证 实 、 调 整 、 经 营 绩效 评价 、 资 产 保护 和 职责 分 离 等 。 

4. 信息 的 沟通 与 交流 (information and communication ) 

言 息 系 统 产生 各 种 报告 ， 包 括 经 营 、 财 务 、 合 规 等 方面 ， 使 得 对 经 营 的 控制 成 为 可 
能 。 处 理 的 信息 包括 内 部 生成 的 数据 ， 也 包括 可 用 于 经 营 决 策 的 外 部 事件 、 活 动 、 状 况 
的 信息 和 外 部 报告 。 所 有 人 员 都 要 理解 自己 在 控制 系统 中 所 处 的 位 置 及 相互 的 关系 ; 必 
须 认 真 对 待 控 制 赋予 自己 的 责任 ,同时 也 必须 同 外 部 团体 如 客户 、 供 货 商 、 监 管 机 构 和 
股东 进行 有 效 的 沟通 。 

5. 对 环境 的 监控 (monitoring) 

监控 在 经 营 过 程 中 进行 ， 通 过 对 正常 的 管理 和 控制 活动 及 员工 执行 职责 过 程 中 的 活 
动 进行 监控 ,来 评价 系统 运作 的 质量 。 不 同 评价 的 范围 和 步骤 取决 于 风险 的 评估 和 执行 
中 的 监控 程序 的 有 效 性 。 对 于 内 部 控制 的 缺陷 要 及 时 向 上 级 报告 ， 严 重 的 问题 要 报告 到 
管理 层 高 层 和 董事 会 。 

COSO 是 企业 内 部 控制 和 风险 管理 的 框架 ， 而 COSO 委员 会 在 信息 技术 治理 指南 中 
将 信息 技术 安全 架构 界定 为 内 部 控制 和 风险 防范 的 起 点 与 核心 ， 说 明 信 息 技术 治理 需要 
重点 关注 信息 安全 的 识别 和 防范 。 而 银行 需要 建立 完善 、 健 全 的 信息 安全 架构 来 规范 信 
息 技 术 治 理 行 为 ， 通 过 建立 风险 控制 机 制 来 降低 银行 的 信息 技术 风险 。 


3.1.5 COBIT 


言 息 及 相关 技术 的 控制 目标 (Control Objectives for Information and Related Technolo- 
gy，COBIT) 是 目前 国际 上 通用 的 信息 系统 治理 和 管理 的 标准 ， 由 信息 系统 审计 与 控制 
协会 (ISACA) 在 1996 年 公布 。 这 是 一 个 在 国际 上 公认 的 、 权 威 的 安全 与 信息 技术 管 
理 和 控制 的 标准 ， 目 前 已 经 更 新 至 5.0 版 。 它 在 商业 风险 、 控 制 需要 和 技术 问题 之 间架 
起 了 一 座 桥梁 ， 以 满足 管理 的 多 方面 需要 。 该 标准 体系 已 在 世界 上 一 百 多 个 国家 的 重要 
组 织 与 企业 中 和 运用， 指导 这 些 组 织 有 效 利 用 信息 资源 ， 有 效 地 管理 与 信息 相关 的 风险 。 

1. 通过 实施 COBIT 可 带 来 的 收益 

COBIT 是 面向 过 程 的 信息 系统 审计 和 评价 的 标准 。 对 信息 化 建设 成 果 的 评价 ， 按 照 
系统 属性 可 以 划分 为 若干 方面 ， 如 对 最 终 成 果 的 评价 、 对 建设 过 程 的 评价 、 对 系统 架构 
的 评价 等 。COBIT 是 一 个 基于 信息 技术 治理 概念 的 、 面 向 信息 技术 建设 过 程 的 信息 技术 
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治理 实现 指南 和 审计 标准 。 

COBIT 是 一 个 非常 有 用 的 工具 ， 也 非常 易于 理解 和 实施 ， 可 以 帮助 企业 在 管理 层 、 
言 息 技术 与 审计 之 间 交 流 的 鸿沟 上 搭建 桥梁 ， 提 供 了 彼此 沟通 的 共同 语言 。 几 乎 每 个 机 
构 都 可 以 从 COBIT 中 获 益 ,来 决定 基于 信息 技术 过 程 及 他 们 所 支持 的 商业 功能 的 合理 
控制 。 当 我 们 知道 这 些 业 务 功能 是 什么 ， 其 对 企业 的 影响 到 什么 程度 时 ， 就 能 对 这 些 事 
件 进行 良好 的 分 类 。 

通过 实施 COBIT， 增 加 了 管理 层 对 控制 的 感知 及 文 持 。COBIT 帮助 管理 层 懂得 如 何 
控制 影响 和 业务 功能 。COBIT 提供 的 实施 工具 集 包括 优秀 的 案例 资料 (提供 模板 业务 
过 程 ， 使 得 优秀 范例 能 够 迅速 移植 ) ， 有 助 于 向 管理 层 很 好 地 表述 信息 技术 管理 概念 。 
管理 层 基 于 最 佳 控制 实践 做 出 正确 决策 的 能 力 亦 得 到 了 提高 。 

COBIT 使 信息 技术 管理 工作 简易 并 量化 ， 降 低 复 杂 信 息 系 统管 理工 作 的 难度 。 对 于 
那些 不 具有 广博 信息 技术 知识 的 人 来 讲 ， 是 一 个 认 清 信息 技术 的 有 价值 的 工具 。 它 也 使 
得 信息 系统 审计 师 具 有 与 信息 技术 专业 人 员 相同 的 专业 广度 ， 并 且 可 以 询问 信息 技术 工 
程 相 关 的 问题 。 

COBIT 提供 了 一 种 国际 通用 的 信息 技术 管理 及 问题 解决 方案 ,普遍 适用 于 各 种 不 同 
的 业务 项 目 和 审计 ， 并 且 既 包容 了 当前 的 情况 ， 也 提供 将 来 可 能 会 使 用 到 的 指导 方针 。 

COBIT 有 助 于 提高 信息 系统 审计 师 的 影响 力 ， 依据 COBIT 出 具 的 信息 系统 审计 报 
告 ， 更 容易 得 到 管理 层 的 肯定 。 

COBIT 框架 能 够 帮助 决定 过 程 责 任 ， 提 高 信息 技术 治理 水 平 。 通 过 应 用 该 框架 进行 
责任 分 析 ， 可 以 做 到 基于 角色 的 信息 技术 管理 ， 定 义 过 程 措施 ， 确 保 客户 利益 。 

2. COBIT 有 过 的 五 个 主要 版 本 

1) 1996 年 ， 第 一 版 推出 。 

2) 1998 年 ， 第 二 版 推出 ， 包 括 了 “管理 指南 ”。 

3) 2000 年 ， 第 三 版 推出 。2003 年 ， 此 版 本 可 以 从 网 上 获得 。 

4) 2005 年 12 月 ， 第 四 版 首次 推出 。2007 年 5 月 ， 发 行 其 修订 版 COBIT 4. 1。 

5) 2012 年 6 月，COBIT 5.0 发 行 。 它 巩固 并 集合 了 COBIT 4.1、Val IT 2.0 和 
RISK 信息 技术 框架 ， 同 时 从 BMIS 和 ITAF 中 汲取 了 部 分 内 容 。 

COBIT 5. 0 为 企业 信息 技术 治理 和 管理 提供 的 新 一 代 指 引 ， 是 以 来 自 商务 、 信 息 技 
术 、 风 险 、 安 全 和 上 鉴证 团体 的 众多 企业 和 用 户 对 COBIT 超过 15 年 的 实际 使 用 和 应 用 为 
依据 而 构建 的 。COBIT 5.0 提供 了 一 种 全 面 的 框架 ， 以 支持 企业 实现 其 企业 信息 技术 治 
理 和 管理 的 目标 。 简 而 言 之 ， 就 是 帮助 企业 通过 维持 实现 利益 、 优 化 风险 等 级 及 资源 利 
用 之 间 的 平衡 ， 从 而 创造 源 自 于 信息 技术 的 最 佳 价值 。COBIT 5. 0 能 够 为 整个 企业 使 信 
息 技 术 在 整体 上 得 以 治理 和 管理 ， 并 承担 整个 端 到 端 业务 和 信息 技术 功能 区 域 的 责任 ， 
同时 兼顾 内 外 部 利益 相关 者 与 信息 技术 相关 的 利益 。COBIT 5.0 可 用 于 各 种 规模 的 机 
构 ， 包 括 商务 、 非 营利 或 公共 机 构 。 

COBIT 5. 0 提出 了 能 使 组 织 在 一 套 包 含 7 个 驱动 因素 的 整体 方法 下 建立 有 效 治理 和 
管理 框架 的 5 个 原则 ， 以 优化 信息 和 技术 的 投资 及 使 用 以 满足 利益 相关 者 的 利益 。 
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3. COBIT 的 5 个 原则 

1) 满足 利益 相关 者 的 需求 。 

2) 覆盖 组 织 的 端 到 端 。 

3) 应 用 一 个 单一 的 整合 性 框架 。 

4) 运用 了 整体 方法 。 

5) 将 治理 从 管理 中 分 离 。 

4. COBIT 的 7 个 驱动 因素 

1) 原则 、 策 略 和 框架 是 将 期 望 的 行为 转化 为 实际 指南 的 手段 ， 以 便于 日 常 管理 。 

2) 程序 描述 了 一 系列 有 组 织 的 实践 和 活动 以 实现 既定 的 目标 ， 同 时 产生 一 系列 结 
果 以 支持 实现 全 部 信息 技术 相关 的 目标 。 

3) 组 织 架 构 是 企业 中 决策 的 关键 实体 。 

4) 个 人 和 企业 的 文化 、 道 德 和 行为 作为 治理 和 管理 活动 的 成 功 因素 经 常 被 忽略 。 

5) 信息 是 保持 组 织 运 营 和 良好 治理 所 必需 的 ， 但 在 操作 层面 ， 信 息 往往 是 企业 本 
身 的 关键 产品 。 

6) 服务 、 基 础 架构 和 应 用 系统 包括 为 组 织 提供 信息 技术 处 理 和 服务 的 基础 架构 、 
技术 及 应 用 系统 。 

7) 人 员 、 技 能 和 能 力 是 成 功 完成 所 有 活动 ， 并 做 出 正确 选择 及 采取 纠正 措施 所 必 
需 的 部 分 。 

总 之 ，COBIT 模型 实现 了 企业 战略 与 信息 技术 战略 的 互动 ， 并 形成 持续 改进 的 良性 
循环 机 制 ， 为 企业 提供 了 具有 一 定 参考 价值 的 解决 方案 。 因 此 ， 针 对 我 国信 息 化 存在 的 
问题 ， 借 鉴 COBIT 的 信息 技术 治理 思想 和 框架 ， 科 学 、 系 统 地 对 信息 及 相关 技术 进行 
管理 ， 逐 步 试行 建立 信息 技术 治理 机 制 ， 对 推动 我 国信 息 技术 的 发 展 和 应 用 具有 十 分 重 
要 的 现实 意义 。 

COBIT 通过 支持 业务 目标 所 需 信 息 ， 以 及 被 信息 技术 流程 管理 的 、 由 信息 技术 相关 
的 应 用 工具 所 产生 的 信息 ， 来 实现 对 信息 和 信息 技术 的 控制 。 由 于 信息 必须 是 安全 的 才 
会 对 业务 目标 有 用 ， 所 以 对 于 信息 安全 的 要 求 是 COBIT 的 内 在 要 求 。 


3.1.6 ITIL 


音 息 技术 基础 架构 库 (Information Technology Infrastructure Library，ITIL) 由 英国 政 
府 部 门 中 央 计 算 和 电信 局 (Central Computing and Telecommunications Agency，CCTA ) 
在 20 世纪 80 年 代 末 制定 ， 现 由 英国 商务 部 (Office of Government Commerce，0GC) 负 
责 管理 ， 主 要 适用 于 信息 技术 服务 管理 (ITSM) 。ITIL 为 企业 的 信息 技术 服务 管理 实践 
提供 了 一 个 客观 、 严 说、 可 量化 的 标准 和 规范 。 

自 提出 ITIL 以 来 ，ITIL 作为 信息 技术 服务 管理 事实 意义 上 的 国际 标准 已 经 得 到 了 
全 球 几乎 所 有 信息 技术 巨头 的 全 力 支 持 。IBM、 惠 普 、 微 软 、CA、BMC 、ASG 等 著名 
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跨国 公司 作为 ITIL 的 积极 倡导 者 ， 基 于 ITIL 分 别 推出 了 实施 信息 技术 服务 管理 的 软件 
和 实施 方案 。ITIL 在 欧洲 、 北 美洲 、 大 洋 洲 已 得 到 广泛 应 用 ， 全 球 1 万 多 家 在 各 行业 处 
于 领先 地 位 的 著名 企业 给 我 们 带 来 了 众多 实施 ITIL 的 成 功 案 例 ， 通 过 实施 ITIL 大 大 改 
进 了 企业 信息 技术 服务 的 质量 ,促进 了 信息 技术 与 业务 的 融合 。 

企业 的 信息 技术 部 门 和 最 终 用 户 可 以 根据 自己 的 能 力 和 需求 定义 自己 所 要 求 的 不 同 
服务 水 平 ， 参考 ITIL 来 规划 和 制定 其 信息 技术 基础 架构 及 服务 管理 ， 从 而 确保 信息 技 
术 服 务 管 理 能 为 企业 的 业务 运作 提供 更 好 的 支持 。 对 企业 来 说 ， 实 施 ITIL 的 最 大 意义 
在 于 把 信息 技术 与 业务 紧密 地 结合 起 来 了 ， 从 而 让 企业 的 信息 技术 投资 回报 最 大 化 。 

自从 1980 年 至 今 ，ITIL 经 历 了 三 个 主要 的 版 本 : 

1) Version 1 1986 一 1999 年 原始 版 ， 主 要 是 基于 职能 型 的 实践 ， 开 发 了 40 多 卷 
图 书 。 
2) Version 2 一 一 1999 一 2006 年 ITIL v2 版 ， 主 要 是 基于 流程 型 的 实践 ， 共 有 10 本 
图 书 ， 包 含 7 个 体系 : 服务 支持 、 服 务 提供 、 实 施 服 务 管理 规划 、 应 用 管理 、 安 全 管 
理 、 基 础 架构 管理 及 ITIL 的 业务 前 景 。 它 已 经 成 为 信息 技术 服务 管理 领域 全 球 广泛 认 
可 的 最 佳 实践 框架 。 

3) Version 3 一 一 2004 一 2007 年 基于 服务 生命 周期 的 ITIL v3 整合 了 vl 和 v2 的 精华 ， 
并 与 时 俱 进 地 融入 了 信息 技术 服务 管理 领域 当前 的 最 佳 实践 。5 本 生命 周期 图 书 形成 了 
ITIL v3 的 核心 ， 它 主要 强调 ITIL 最 佳 实践 的 执行 支持 和 在 改善 过 程 中 需要 注意 的 细节 。 

ITIL 最 新 版 本 是 3.0， 于 2011 年 发 布 ， 包 含 信 息 技 术 的 5 个 生命 周期 : 战略 阶段 


(Service Strategy) 、 设 计 阶 段 (Service Design) 、 转 换 阶 段 (Service Transition) 、 运 营 阶 


段 (Service Operation) 、 改 进 阶段 (Service Improvement ) 。 

每 一 个 生命 周期 对 应 了 相应 的 指导 文件 : 

1) 服务 战略 指导 文件 提供 了 基于 市 场 驱动 模型 的 信息 技术 服务 方法 。 它 描述 了 一 
系列 的 管理 流程 ， 可 以 帮助 企业 根据 财务 效益 原则 做 出 更 精准 的 外 包 决 策 。 

2) 服务 设计 指导 文件 解释 了 信息 技术 服务 对 较 大 的 业务 怎样 产生 影响 。 它 涵盖 了 
言 息 技术 服务 的 设计 实例 和 技术 服务 的 交付 、 服 务 管理 工具 、ITIL 服务 支持 流程 、 支 撑 
服务 的 供应 链 。 具 体 的 管理 业务 内 容 包括 服务 水 平 、 可 用 性 、 容 量 和 安全 管理 。 

3) 服务 转换 指导 文件 讲解 了 将 业务 需求 转化 为 实际 信息 技术 服务 的 过 程 。ITIL 服 
务 管 理 约定 你 必须 以 项 目 管理 的 模式 完成 这 些 转换 过 程 ， 同 时 ， 服 务 转 换 指 导 文 件 也 说 
明了 应 该 如 何 完 成 业务 环境 下 的 变更 管理 。 服 务 转换 包括 变更 管理 、 资 产 和 配置 管理 、 
软件 发 布 或 部 署 管理 、 服 务 测试 等 。 

4) 服务 运营 指导 文件 提供 了 一 系列 范例 ， 帮 助 企 业 向 其 员工 、 合 作 伙伴 和 客户 交 
付 所 需 的 服务 水 平一 一 这 也 是 信息 技术 在 整个 ITIL 生命 周期 中 真正 创造 价值 的 部 分 。 
ITIL 服务 从 业 人 员 接 受 的 培训 包括 如 何 处 理 日 常事 务 和 事故 、 回 应 请 求 、 管 理 问题 、 维 
护 安全 性 。 

5) 服务 的 持续 改进 指导 文件 协助 企业 确定 需要 服务 变更 的 节点 ， 配 合 业 务 需 求 的 
变化 持续 调整 服务 ， 同 时 掌控 全 局 ， 考 核 变 更 的 成 效 。 这 涉及 考核 节点 的 定义 和 考核 数 
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据 的 收集 、 处 理 和 分 析 。 当 需要 改进 时 ， 信 息 技 术 团 队 会 执行 变更 流程 ， 通 过 前 面 的 考 
核 数据 评估 成效， 并 依 此 推广 到 更 多 标准 化 的 变更 。 这 是 一 个 持续 的 过 程 。 

虽然 ITIL v3. 0 不 是 从 流程 的 角度 对 信息 技术 管理 进行 描述 , 但 其 本 质 和 核心 仍然 
是 各 种 流程 ， 下 面 对 这 些 流 程 进行 简要 的 介绍 。 

1) 服务 台 : 服务 台 是 信息 技术 部 门 和 信息 技术 服务 用 户 之 间 的 单一 联系 点 。 它 通 
过 提供 一 个 集中 和 专职 的 服务 联系 点 促进 了 组 织 业 务 流程 与 服务 管理 基础 架构 集成 。 服 
务 台 的 主要 目标 是 协调 客户 〈 用 户 ) 和 信息 技术 部 门 之 间 的 联系 ， 为 信息 技术 服务 运 
作 提 供 支 持 ， 从 而 提高 客户 的 满意 度 。 

2) 事件 管理 : 事件 管理 负责 记录 、 归 类 和 安排 专家 处 理事 故 并 监督 整个 处 理 过 程 
直至 事故 得 到 解决 和 终止 。 事 件 管理 的 目的 是 在 尽 可 能 最 小 地 影响 客户 和 用 户 业务 的 情 
况 下 使 信息 技术 系统 恢复 到 服务 级 别 协议 所 定义 的 服务 级 别 。 

3) 问题 管理 : 问题 管理 是 指 通 过 调查 和 分 析 信 息 技术 基础 架构 的 薄弱 环节 、 查 明 
事故 产生 的 潜在 原因 ， 并 制定 解决 事故 的 方案 和 防止 事故 再 次 发 生 的 措施 ， 将 由 问题 和 
事故 对 业务 产生 的 负面 影响 减 小 到 最 低 的 服务 管理 流程 。 与 事件 管理 强调 事故 恢复 的 速 
度 不 同 ， 问 题 管理 强调 的 是 找 出 事故 产生 的 根源 ， 从 而 制定 恰当 的 解决 方案 或 防止 其 再 
次 发 生 的 预防 措施 。 

4) 配置 管理 : 配置 管理 是 识别 和 确认 系统 的 配置 项 ， 记 录 和 报告 配置 项 状态 和 变 
更 请 求 ， 检 验 配置 项 的 正确 性 和 完整 性 等 活动 构成 的 过 程 ， 其 目的 是 提供 信息 技术 基础 
架构 的 逻辑 模型 ， 支 持 其 他 服务 管理 流程 ， 特 别 是 变更 管理 和 发 布 管理 的 运作 。 

5) 变更 管理 : 变更 管理 是 指 为 了 在 最 短 的 中 断 时 间 内 完成 基础 架构 或 服务 的 任 一 
方面 的 变更 而 对 其 进行 控制 的 服务 管理 流程 。 变 更 管理 的 目标 是 确保 在 变更 实施 过 程 中 
使 用 标准 的 方法 和 步 又 ， 尽 快 地 实施 变更 ， 以 将 由 变更 所 导致 的 业务 中 断 对 业务 的 影响 
减 小 到 最 低 。 

6) 发 布 管理 : 发 布 管理 是 指 对 经 过 测试 后 导入 实际 应 用 的 新 增 或 修改 后 的 配置 项 
进行 分 发 和 宣传 的 管理 流程 。 发 布 管理 以 前 又 称 为 软件 控制 与 分 发 ， 它 由 变更 管理 流程 
控制 。 

7) 服务 级 别管 理 : 服务 级 别管 理 是 为 签订 服务 级 别 协议 (SLAs) 而 进行 的 计划 、 
草拟 、 协 商 、 监 控 和 报告 及 签订 服务 级 别 协议 后 对 服务 绩效 的 评价 等 一 系列 活动 所 组 成 
的 一 个 服务 管理 流程 。 服 务 级 别管 理 旨 在 确保 组 织 所 需 的 信息 技术 服务 质量 在 成 本 合理 
的 范围 内 得 以 维持 并 逐渐 提高 。 

8) 信息 技术 服务 财务 管理 : 信息 技术 服务 财务 管理 是 负责 预算 和 核算 信息 技术 服 
务 提 供 方 提 供 信 息 技 术 服务 所 需 的 成 本 ， 并 向 客户 收取 相应 服务 费用 的 管理 流程 ， 它 包 
括 信息 技术 投资 预算 、 信 息 技 术 服 务 成 本 核算 和 服务 计 费 3 个 子 流程 ， 其 目标 是 通过 量 
化 服务 成 本 减少 成 本 超支 的 风险 、 减 少 不 必 要 的 浪费 、 合 理 引 导 客 户 的 行为 ， 从 而 最 终 
保证 所 提供 的 信息 技术 服务 符合 成 本 效益 的 原则 。 信 息 技术 服务 财务 管理 流程 产生 的 预 
算 和 核算 信息 可 以 为 服务 级 别管 理 、 能 力 管理 、 信 息 技术 服务 持续 性 管理 和 变更 管理 等 
管理 流程 提供 决策 依据 。 
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9) 信息 技术 服务 持续 性 管理 : 信息 技术 服务 持续 性 管理 是 指 确保 发 生 灾难 后 有 足 
够 的 技术 、 财 务 和 管理 资源 来 确保 信息 技术 服务 持续 性 的 管理 流程 。 信 息 技术 服务 持续 
性 管理 关注 的 焦点 是 在 发 生 服务 故障 后 仍然 能 够 提供 预定 级 别 的 信息 技术 服务 ， 从 而 支 
持 组 织 的 业务 持续 运作 的 能 

10) 能 力 管理 ; 能 力 管 理 是 指 在 成 本 和 业务 需求 的 双重 约束 下 ， 通 过 配置 合理 的 
服务 能 力 使 组 织 的 信息 技术 资源 发 挥 最 大 效能 的 服务 管理 流程 。 能 力 管理 流程 包括 业务 
能 力 管理 、 服 务 能 力 管 理 和 资源 能 力 管理 3 个 子 流 程 。 

11) 可 用 性 管理 : 可 用 性 管理 是 通过 分 析 用 户 和 业务 方 的 可 用 性 需求 并 据 以 优化 
和 设计 信息 技术 基础 架构 的 可 用 性 ， 从 而 确保 以 合理 的 成 本 满足 不 断 增长 的 可 用 性 需求 
的 管理 流程 。 可 用 性 管理 是 一 个 前 脆性 的 管理 流程 ， 它 通过 对 业务 和 用 户 可 用 性 需求 的 
定位 ， 使 得 信息 技术 服务 的 设计 建立 在 真实 需求 的 基础 上 ， 从 而 避免 信息 技术 服务 运作 
中 采用 过 度 的 可 用 性 级 别 ， 节 约 了 信息 技术 服务 的 运作 成 本 。 

言 息 安 全 风险 是 企业 风险 的 一 部 分 ， 因 此 ISO 31000 对 于 银行 信息 安全 具有 很 好 的 
和 导 作用 。 


3.1.7 ISO 31000 


所 有 类 型 和 规模 的 组 织 都 面临 内 部 和 外 部 的 、 使 组 织 不 能 确定 是 否 及 何 时 实现 其 目 
标的 因素 和 影响 。 这 种 不 确定 性 所 具有 的 对 组 织 目 标的 影响 就 是 风险 。 组 织 的 所 有 活动 
都 涉及 风险 。 组 织 通过 识别 、 分 析 和 评定 是 否 运 用 风险 处 理 修正 风险 以 满足 它们 的 风险 
准则 ， 来 管理 风险 。 通 过 这 个 过 程 ， 它 们 与 利益 相关 方 进行 沟通 和 协商 ， 监 测 和 评审 风 
险 ， 并 为 确保 不 再 进一步 需求 风险 处 理 而 修正 风险 的 控制 措施 。ISO 31000 详细 描述 了 
这 一 系统 的 过 程 。 

尽管 所 有 的 组 织 在 某 种 程度 上 都 在 管理 风险 ， 但 ISO 31000 建立 了 一 些 为 使 风险 管 
理 变 得 有 效 而 需要 满足 的 原则 。ISO 31000 建议 ， 组 织 制定 、 实 施 和 持续 改进 一 个 框架 ， 
其 目的 是 将 风险 管理 过 程 整 合 到 组 织 的 整体 治理 、 战 略 和 规划 、 管 理 、 报 告 过 程 、 方 
针 、 价 值 观 和 文化 中 。 

风险 管理 可 以 在 组 织 多 个 领域 和 层次 、 任 何 时 间 ， 应 用 到 整个 组 织 及 具体 职能 、 项 
目 和 活动 中 。 

ISO 31000 中 所 描述 的 通用 方法 提供 了 在 任何 范围 和 状况 下 ， 以 系统 、 清 晰 、 可 靠 
的 方式 管理 风险 的 原则 和 指南 。 在 一 个 综合 框架 内 采用 一 致 性 过 程 有 助 于 确保 在 组 织 
有 效 、 有 效率 和 结合 性 地 管理 风险 。 

每 一 个 具体 行业 或 风险 管理 的 应 用 都 产生 了 各 自 的 需求 、 受 众 、 观 念 和 准则 。 因 
此 ，ISO 31000 的 主要 特点 是 将 所 包含 的 “确定 状况 ”作为 通用 风险 管理 过 程 开始 的 活 
动 。“ 确 定 状 况 ” 将 捕获 组 织 的 目标 ， 组 织 所 追求 目标 的 环境 ， 组 织 的 利益 相关 方 和 风 
险 准则 的 多 样 性 ， 所 有 这 些 都 将 帮助 揭示 和 评价 风险 的 性 质 和 复杂 性 。 

ISO 31000 描述 了 风险 管理 原则 、 框 架 、 过 程 之 间 的 关系 ， 如 图 3-1 所 示 。 
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a) 风险 管理 创造 价值 任务 和 承诺 确定 环境 状况 Ee 


险 管理 是 组 织 进程 
险 管理 是 决策 的 一 部 


内 ee 
险 管理 明确 地 将 不 风险 识别 


定性 表达 出 来 
险 管理 应 系统 化 、 
结构 化 、 及 时 


23 


风险 分 析 - ee 


型 芝 灿 岗 闪 
工 息 灿 洲 层 


化 
f) 风险 管理 依赖 于 信息 的 | || 持续 改善 框架 


8) 风险 管理 应 适应 组 织 
站 用 汪 放 志和 人 力 
和 文化 因素 监控 与 审查 框架 


因素 
iD 风险 管理 应 该 是 透明 


的 包容 的 风险 处 置 


原则 框架 过 程 
图 3-1 风险 管理 原则 、 框 架 、 过 程 之 间 的 关系 


当 依 据 ISO 31000 实施 和 保持 风险 管理 时 ， 能 够 使 组 织 : 
1) 提高 实现 目标 的 可 能 性 。 

2) 鼓励 主动 性 管理 。 

3) 在 整个 组 织 意识 到 识别 和 处 理 风 险 的 需求 。 
4) 改进 机 会 和 威胁 的 识别 能 

5) 符合 相关 法 律 法 规 要 求 和 国际 规范 。 

6) 改进 强制 性 和 自愿 性 报告 。 

7) 改善 治理 。 

8) 提高 利益 相关 方 的 信心 和 信任 。 

9) 为 决策 和 规划 建立 可 靠 的 根基 。 

10) 加 强 控制 。 

11) 有 效 地 分 配 和 利用 风险 处 理 的 资源 。 

12) 提高 运营 的 效果 和 效率 。 

13) 增强 健康 安全 绩效 和 环境 保护 。 

14) 改善 损失 预防 和 事件 管理 。 

15) 减少 损失 。 

16) 提高 组 织 的 学 习 能 力 。 

17) 提高 组 织 的 应 变 能 力 。 

ISO 31000 旨 在 满足 众多 利益 相关 方 的 需求 ， 包 括 : 
1) 负责 制定 组 织 风险 管理 方针 的 人 员 。 

2) 负责 确保 在 组 织 整 体 、 某 一 特定 区 域 或 项 目 、 活 动 内 有 效 开 展 风 险 管理 的 
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3) 需要 评定 组 织 风险 管理 有 效 性 的 人 员 。 

4) 整体 或 部 分 地 实施 风险 管理 的 标准 、 指 南 、 程 序 和 操作 规范 的 开发 者 。 

目前 许多 组 织 的 管理 实践 和 过 程 包含 了 风险 管理 的 要 素 ， 许 多 组 织 针对 特定 类 型 的 
风险 已 经 采用 了 正式 的 风险 管理 过 程 。 在 这 种 情况 下 ， 组 织 可 以 决定 对 照 ISO 31000 对 
其 现 有 的 实践 和 过 程 开 展 严格 的 评审 。 

从 巴塞 尔 协议 对 操作 风险 的 定义 可 以 看 出 ， 操 作风 险 与 信息 安全 具有 很 大 的 重合 
度 ， 但 彼此 的 出 发 点 不 一 样 。 操 作风 险 是 站 在 银行 风险 的 角度 ， 而 传统 信息 安全 多 是 站 
在 信息 技术 的 角度 。 银 行进 行 风险 管理 时 ， 需 要 满足 巴塞 尔 协议 的 要 求 ， 因 此 银行 在 进 
行 信 息 安全 建设 时 ， 也 需要 参考 巴塞 尔 协议 在 操作 风险 上 的 要 求 。 


3.1.8 《巴塞 尔 协议 》 及 其 操作 风险 


《巴塞 尔 协议 》 的 出 台 源 于 前 联邦 德国 赫 斯 塔 特 ( Herstatt) 银行 和 美国 富兰克林 国 
民 银 行 (Franklin National Bank) 的 倒闭 。 这 是 两 家 著名 的 国际 性 银行 。 它 们 的 倒闭 使 
监管 机 构 在 惊 悍 之 余 开 始 全 面 审 视 拥有 广泛 国际 业务 的 银行 监管 问题 。 赫 斯 塔 特 银 行 和 
富兰克林 国民 银行 倒闭 的 第 二 年 ， 即 1975 年 9 月 , 第 一 个 《巴塞 尔 协 议 》 出 台 。 这 个 
协议 极为 简单 ， 核 心 内 容 就 是 针对 国际 性 银行 监管 主体 缺 位 的 现实 ， 突 出 强调 了 两 点 : 
@ 任 何 银行 的 国外 机 构 都 不 能 逃避 监管 ; @ 母 国 和 东道 国 应 共同 承担 的 职责 。1983 年 5 
月 ， 修 改 后 的 《巴塞 尔 协议 》 推 出 。 这 个 协议 基本 上 是 前 一 个 协议 的 具体 化 和 明细 化 。 
比如 明确 了 母国 和 东道 国 的 监管 责任 和 监督 权力 ， 分 行 、 子 行 和 合资 银行 的 清偿 能 
流动 性 、 外 汇 活动 及 其 头寸 各 由 哪 方 负责 等 ， 由 此 体现 “监督 必须 充分 ”的 监管 原则 。 
两 个 《巴塞 尔 协议 》 因 此 也 就 没有 实质 性 差异 : 总 体 思 路 都 是 “股权 原则 为 主 ， 市 场 
原则 为 辅 ; 母国 综合 监督 为 主 ， 东 道 国 个 别 监督 为 辅 "。 但 是 两 者 对 清偿 能 力 等 监管 内 
容 都 只 提出 了 抽象 的 监管 原则 和 职责 分 配 ， 未 能 提出 具体 可 行 的 监管 标准 。 各 国 对 国际 
银行 业 的 监管 都 是 各 自 为 战 、 自 成 体系 ， 充 分 监管 的 原则 也 就 无 从 体现 。 

《巴塞 尔 协议 》 的 实质 性 进步 体现 在 1988 年 7 月 通过 的 《关于 统一 国际 银行 的 资 
本 计算 和 资本 标准 的 报告 》( 简 称 《 巴 塞 尔 报告 》) 。 该 报告 主要 有 4 部 分 内 容 : 中 资本 
的 分 类 ; @ 风 险 权 重 的 计算 标准 ; @@1992 年 资本 与 资产 的 标准 比例 和 过 渡 期 的 实施 安 
排 ， 图 各 国 监管 当局 自由 决定 的 范围 。 体 现 协议 核心 思想 的 是 前 两 项 。 首 先是 资本 的 分 
类 ， 也 就 是 将 银行 的 资本 划分 为 核心 资本 和 附属 资本 两 类 ， 对 各 类 资本 按照 各 自 不 同 的 
村 点 进行 明确 的 界定 。 其 次 是 风险 权重 的 计算 标准 ， 报 告 根据 资产 类 别 、 性 质 及 债务 主 
体 的 不 同 ， 将 银行 资产 负债 表 的 表 内 和 表 外 项 目 划 分 为 0% 、20% 、50% 和 100% 4 个 
风险 档次 。 风 险 权 重 划分 的 目的 是 为 了 衡量 资本 标准 服务 。 有 了 风险 权重 ， 报 告 所 确定 
的 资本 对 风险 资产 8% (其 中 核心 资本 对 风险 资产 的 比重 不 低 于 4% ) 的 标准 目标 比率 
才 具 有 实 实在 在 的 意义 。 可 见 , 《巴塞 尔 报告 》 的 核心 内 容 是 资本 的 分 类 。 也 正 因为 如 
此 ， 许 多 人 直接 就 将 《巴塞 尔 报告 》 称 为 规定 资本 充足 率 的 报告 。 

2004 年 巴塞 尔 委员 会 颁布 的 新 资本 协议 中 指出 ， 操 作风 险 是 商业 银行 所 面临 的 另 
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一 种 重要 风险 类 型 ， 提 出 要 将 信用 风险 和 市 场 风 险 之 外 的 操作 风险 纳入 商业 银行 全 面 风 
险 管理 体系 ， 对 操作 风险 计 提 风险 资本 。 新 资本 协议 中 指出 ， 操 作风 险 指 “ 由 不 完善 
或 者 有 问题 的 内 部 程序 、 人 员 及 系统 或 外 部 事件 所 造成 损失 的 风险 ”。 策 略 风险 和 声誉 
风险 不 包含 在 此 定义 中 ， 中 国 银监会 也 沿用 了 该 定义 。 

操作 风险 经 济 资本 是 指 ， 未 来 一 定期 间 内 ， 在 一 定 的 置信 水 平 下 ， 银 行为 弥补 操作 
风险 非 预 期 损失 而 需要 的 资本 。 对 操作 风险 进行 计量 具有 多 方面 的 重要 意义 。 一 是 监管 
机 构 通过 计量 监管 资本 ， 要 求 金融 机 构 必 须 持 有 足够 的 资本 来 应 对 操作 风险 的 非 预期 损 
失 ， 从 而 增强 金融 机 构 和 金融 系统 的 稳定 性 ; 二 是 金融 机 构 为 降低 操作 风险 的 资本 要 
求 ， 不 断 改进 管理 ， 从 而 达到 以 资本 约束 扩张 、 以 资本 促进 管理 提升 的 目的 。 


3.2 银行 实际 信息 安全 管理 体系 参考 框架 介绍 


3.2.1 银行 信息 安全 管理 体系 参考 框架 设计 意义 


随 着 我 国 金融 改革 的 进行 ， 各 银行 纷纷 将 竞争 的 焦点 集中 到 服务 手段 上 ， 不 断 加 大 
信息 化 建设 投入 ， 扩 大 计算 机 网 络 规模 和 应 用 范围 成 为 一 种 趋势 ， 信 息 化 在 给 银行 带 来 
利益 的 同时 ， 也 给 银行 带 来 了 新 的 安全 问题 。 由 于 银行 信息 网 络 中 处 理 、 传 输 、 存 储 的 
都 是 金融 信息 ， 对 其 进行 攻击 将 获得 巨额 利益 。 同 时 ， 对 银行 信息 网 络 的 攻击 ， 可 能 对 
国家 安全 、 社 会 经 济 造成 重大 损失 。 因 此 无 论 从 银行 信息 网 络 的 受 关注 程度 ， 还 是 银行 
言 息 网 络 的 重要 性 的 角度 ， 都 导致 银行 信息 网 络 的 安全 问题 显得 非常 重要 。 

在 历经 了 网 络 建设 、 数 据 大 集中 、 网 络 安全 基础 设施 建设 等 阶段 后 ， 我 国 金融 信息 
化 已 进入 了 体系 化 信息 安全 管理 的 阶段 ， 通 过 建立 完整 的 银行 信息 安全 保障 体系 ， 有 效 
地 防范 和 化 解 安全 风险 ， 统 一 安全 问题 处 理 规范 和 流程 ， 增 强 金 融 系统 的 信息 安全 整体 
防范 能 力 ， 以 保证 金融 机 构 的 信息 系统 平稳 运行 及 各 项 业务 的 持续 展开 。 

言 息 安全 管理 体系 ( Information Security Management System，ISMS) 作为 整个 管理 
体系 的 一 部 分 ， 基 于 业务 风险 方法 ,来 建立、 实施 、 运 行 、 监 审 、 保 持 和 改进 信息 安全 
的 体系 。ISMS 可 以 认为 是 一 系列 关于 组 织 的 信息 安全 管理 的 控制 措施 的 总 称 。 

言 息 安全 管理 体系 为 建立 、 实 施 、 运 行 、 监 视 、 评 审 、 保 持 和 改进 ISMS 提供 模 
型 。 该 标准 采用 了 PDCA 循环 模型 ， 该 模型 可 应 用 于 所 有 的 ISMS 过 程 。 通 过 ISMS 把 相 
关 方 的 信息 安全 要 求 和 期 望 作为 输入 ， 并 通过 必要 的 行动 和 过 程 ， 产 生 满 足 这 些 要 求 和 
期 望 的 信息 安全 结 

银行 信息 安全 管理 体系 的 意义 在 于 针对 银行 各 信息 系统 中 存在 的 信息 安全 风险 ， 从 
银行 的 业务 需求 出 发 ， 遵 从 风险 管理 的 理念 ， 在 银行 信息 技术 战略 规划 的 基础 上 ， 借 鉴 
国际 最 佳 实践 经 验 ， 全 面 指导 银行 的 信息 安全 工作 ， 并 实现 以 下 建设 目标 : 

1) 保障 业务 持续 ,促进 业务 发 展 。 
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2) 保证 信息 的 机 密 性 、 完 整 性 和 可 用 性 。 
3) 保证 信息 的 真实 性 、 可 核查 性 、 不 可 否认 性 和 可 靠 性 等 特性 。 


3.2.2 银行 信息 安全 管理 体系 参考 框架 设计 方法 论 


言 息 安全 管理 体系 设计 需要 以 银行 信息 安全 监管 要 求 及 实践 为 基础 ， 参 考 业 界 成 熟 
的 信息 安全 管理 体系 实施 方法 论 ， 同 时 结合 安全 体系 评估 结果 和 持续 改进 方法 ， 最 终 形 
成 适合 特定 银行 的 信息 安全 管理 体系 (图 3-2)。 


业界 信息 安全 管理 
体系 实施 方法 论 


信息 安全 管理 体系 
设计 方法 论 


信息 安全 监管 理 体系 


评估 及 持续 改进 


图 3-2 上 典型 的 信息 安全 管理 体系 设计 方法 论 


3.2.3 银行 信息 安全 管理 体系 参考 框架 


言 息 安全 包含 的 内 容 相当 广 泛 ， 以 各 自 独 立 的 视角 去 看 待 信息 安全 就 会 只 见 树木 不 
见 森 林 。 因 此 ， 应 将 银行 信息 安全 管理 当 作 一 个 整体 加 以 研究 和 应 用 。 信 息 安全 管理 体 
系 参考 框架 就 是 从 整体 上 去 看 待 银行 信息 安全 的 所 有 工作 。 由 于 每 家 银行 都 具有 各 自 不 
同 的 特点 ， 因 此 并 不 存在 一 个 统一 的 信息 安全 管理 体系 模型 适合 所 有 的 银行 。 这 里 提出 
的 信息 安全 管理 体系 模型 作为 一 个 参考 框架 ， 具 有 普遍 适用 性 ， 但 是 每 家 银行 在 进行 信 
息 安全 管理 体系 建设 时 ,根据 自身 实际 的 不 同 会 有 不 同 的 模型 。 
银行 信息 安全 管理 体系 参考 框架 包括 以 下 几 个 领域 : 信息 安全 方针 、 信 息 安全 组 
织 、 信 息 安 全 制度 、 信 息 安 全 运作 、 信 息 安 全 技术 ， 其 中 信息 安全 运作 包括 信息 安全 风 
险 管理 、 信 息 安全 检查 、 信 息 安 全 监控 、 信 息 安 全 事件 管理 、 业 务 连续 性 与 灾难 恢复 管 
理 、 信 息 安 全 审计 等 内 容 。 银 行 安全 管理 体系 参考 框架 如 图 3-3 所 示 。 
1. 信息 安全 驱动 
银行 的 业务 目标 、 风 险 策略 、 审 计 要 求 、 监 管 与 合 规 要 求 、 信 息 科 技 战略 等 作为 整 
个 组 织 运作 需要 考虑 的 重要 因素 ， 同 时 也 对 整个 信息 安全 起 到 驱动 作用 。 银 行 的 信息 安 
贯穿 了 信息 技术 战略 和 信息 技术 规划 的 整个 过 程 。 在 分 解 信 息 化 总 体 架构 要 求 ， 对 各 
信息 系统 建设 项 目的 目标 、 内 容 、 方 案 和 策略 等 逐一 进行 规划 设计 的 同时 ， 应 该 兼顾 信 
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业务 目标 风险 策略 监管 与 合 规 要 求 | | 信息 科技 战略 信息 安全 驱动 
信息 安全 方针 


信息 安全 制度 信息 安全 组 织 攻 
上 
[ 刺 定 、 观 范 、 演 程 ] 层 


[天 六 | [执行 层 | 


信息 安全 规划 与 建设 信息 安全 监控 与 检查 
信息 安全 审计 信息 安全 事件 管理 
业务 连续 性 与 灾难 恢复 


图 3-3 银行 安全 管理 体系 参考 框架 


息 安 全 的 规划 和 建设 。 

2. 信息 安全 方针 

银行 的 信息 安全 方针 是 为 了 加 强 银 行 信息 安全 保障 能 力 ， 建 立 健全 银行 的 安全 管理 
体系 ， 提 高 整体 的 网 络 与 信息 安全 水 平 ， 保 证 网 络 通 信和 畅通 和 业务 系统 的 正常 运营 ， 提 
高 网 络 服务 质量 ,指导 银行 整体 信息 安全 的 工作 而 制定 的 信息 安全 整体 策略 。 

3. 信息 安全 组 织 

在 明确 了 安全 方针 并 获得 高 层 管理 者 的 认可 后 ， 安 全 管理 的 下 一 步 工 作 就 是 定义 、 
建立 和 维护 安全 组 织 架 构 。 银 行 的 安全 组 织 架 构 定 义 的 重要 工作 之 一 是 定义 评估 标准 ， 
辅助 安全 管理 人 员 跟 踪 工 作 执 行情 况 。 首 先 要 定义 关键 绩效 指标 (KPI) ， 而 后 对 指标 
进行 长 期 的 维护 和 修改 。 

银行 信息 安全 组 织 通常 采用 统一 领导 、 分 级 管理 、 分 级 负责 的 原则 。 根 据 银 行 现 有 
组 织 结构 和 运行 模式 ， 选 择 和 开发 适合 的 安全 组 织 架 构 。 

安全 组 织 架 构 解 决 的 具体 问题 和 主要 功能 如 下 : 

1) 明确 关键 安全 功能 。 

2) 明确 当前 安全 职位 的 人 员 组 成 。 

3) 定义 安全 管理 领导 人 员 的 职责 。 

4) 定义 安全 组 织 架构 和 功能 。 

5) 定义 安全 组 织 架 构 的 各 个 角色 和 职责 。 

6) 定义 在 企业 内 的 安全 部 署 。 

7) 定义 安全 策略 、 流 程 和 指导 原则 。 
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8) 定义 安全 组 织 架 构 。 

9) 管理 和 检查 日 常安 全 操作 。 

10) 与 其 他 业务 单元 协调 。 

11) 向 高 层 领导 汇报 。 

在 银行 中 ， 安 全 应 该 有 专人 来 总 体 负责 ， 从 建立 、 实 施 到 维护 ， 全 程 负责 信息 的 安 
全 工程 ， 并 向 高 层 领导 汇报 。 

要 求 各 安全 岗位 工作 人 员 必 须 具 备 较 高 的 道德 素质 和 与 岗位 相 适 应 的 业务 技术 能 
力 。 建 立 安全 技术 培训 计划 ， 通 过 各 种 培训 方式 ， 提 高 各 级 管理 人 员 和 专业 人 员 安 全 技 
能 ， 降 低 安全 操作 风险 。 

4. 信息 安全 制度 

银行 信息 安全 制度 包括 信息 安全 方针 、 管 理 办 法 、 规 定 、 规 范 、 流 程 、 细 则 、 模 板 
表单 、 记 录 文 件 等 涉及 信息 安全 的 文件 。 信 息 安 全 制度 是 所 有 与 安全 相关 活动 的 基础 ， 
其 作用 是 在 银行 范围 内 实现 安全 技术 和 安全 运 维 的 一 致 性 ， 从 而 减少 安全 事件 发 生 的 概 
率 、 产 生 的 影响 和 造成 的 损失 。 银 行 的 安全 制度 一 经 确立 ， 将 为 安全 框架 的 其 他 环节 提 
供 决策 依据 。 

银行 的 信息 安全 方针 是 信息 安全 管理 的 最 上 层 文件 ， 也 是 信息 安全 的 纲领 性 文件 ， 
其 他 文件 如 管理 办 法 、 流 程 、 操 作 规 范 、 技 术 标 准 等 ， 都 必须 遵从 这 些 纲领 性 文件 。 

管理 办 法 是 信息 安全 管理 制度 的 约束 性 文件 ， 是 对 信息 安全 某 一 方面 的 原则 性 的 
规定 。 

安全 管理 规定 和 细则 是 对 管理 办 法 的 细 化 规定 和 要 求 。 安 全 规范 是 实现 管理 办 法 需 
要 遵守 的 准则 和 规定 。 包 括 技术 规范 和 管理 规范 。 安 全 流程 是 对 管理 办 法 的 过 程 描述 ， 
侧重 工作 过 程 中 输入 、 输 出 、 活 动 、 职 责 的 界定 。 

模板 表单 和 记录 文件 是 上 述 文档 制度 在 执行 过 程 中 使 用 到 的 相关 表单 和 记录 。 

5. 信息 安全 运作 

随 着 信息 安全 管理 体系 和 技术 体系 在 银行 信息 安全 建设 中 不 断 推进 ， 占 信息 系统 生 
命 周 期 70% ~ 80% 的 信息 安全 运作 已 经 越 来 越 被 广大 从 业 人 员 重 视 。 尤 其 是 随 着 信息 
系统 建设 工作 从 大 规模 建设 阶段 逐步 转型 到 “建设 和 运 维 ”并 举 的 发 展 阶段 ， 运 维 人 
员 需 要 管理 越 来 越 庞大 的 信息 技术 系统 ， 在 这 样 的 情况 下 ， 信 息 安 全 运作 已 经 被 提 到 了 
一 个 空前 的 高 度 上 。 
通常 信息 安全 运作 包含 两 层 含义 ; 

1) 是 指 在 运 维 过 程 中 对 网 络 或 系统 发 生病 毒 或 黑客 攻击 等 安全 事件 进行 定位 、 防 
护 、 排 除 等 运 维 动作 ， 保 障 系统 不 受 内 、 外 界 侵害 。 

2) 对 运 维 过 程 中 发 生 的 基础 环境 、 网 络 、 安 全 、 主 机 、 中 间 件 、 数 据 库 乃 至 核心 
应 用 系统 发 生 的 影响 其 正常 运行 的 安全 事件 ， 以 及 围绕 安全 事件 、 运 维 人 员 和 信息 资 
产 ,， 依据 具 体 流程 而 展开 监控 、 告 警 、 响 应 、 评 佑 等 运行 维护 活动 。 

信息 安全 运作 是 一 个 广泛 的 概念 ， 从 具体 内 容 来 看 ， 包 括 信息 安全 风险 管理 、 信 息 
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安全 规划 与 建设 、 信 息 安 全 监控 与 检查 、 信 息 安全 事件 管理 、 业 务 连 续 性 与 灾难 恢复 管 
理 及 信息 安全 审计 。 本 书 将 在 后 续 章 节 详 细 阐 述 各 部 分 内 容 。 

6. 信息 安全 技术 

言 息 安全 的 内 涵 在 不 断 地 延伸 ， 从 最 初 的 信息 保密 性 发 展 到 信息 的 完整 性 、 可 用 
性 、 可 控 性 和 不 可 否认 性 ， 进 而 又 发 展 为 “ 攻 (攻击 )、 防 (防范 )、 测 (检测 )、 控 
(控制 )、 管 (管理 )、 评 (评估)” 等 多 方面 的 基础 理论 和 实施 技术 。 银 行 常见 的 信息 
安全 技术 包括 : 

1) 身份 认证 技术 : 用 来 确定 用 户 或 者 设备 身份 的 合法 性 ， 典 型 的 手段 有 用 户 名 口 
邻 、 动 态 口 令 、PKI 证 书 和 生物 认证 等 。 

2) 加 解密 技术 : 在 传输 过 程 或 存储 过 程 中 进行 信息 数据 的 加 解密 ， 典 型 的 加 密 体 
制 可 采用 对 称 加 密 和 非 对 称 加 密 。 

3) 边界 防护 技术 : 防止 外 部 网 络 用 户 以 非法 手段 进入 内 部 网 络 、 访 问 内 部 资源 、 
保护 内 部 网 络 操作 环境 的 特殊 网 络 互联 设备 ， 典 型 的 设备 有 防火 墙 和 入 侵 检测 设备 。 

4) 访问 控制 技术 : 保证 网 络 资源 不 被 非法 使 用 和 访问 。 访 问 控制 是 网 络 安全 防范 
和 保护 的 主要 核心 策略 ， 规 定 了 主体 对 客体 访问 的 限制 ， 并 在 身份 识别 的 基础 上 ， 根 据 
身份 对 提出 资源 访问 的 请 求 加 以 权限 控制 。 

5) 主机 加 固 技术 : 操作 系统 或 者 数据 库 的 实现 会 不 可 避免 地 出 现 某 些 漏 洞 ， 从 而 
使 信息 网 络 系统 遭受 严重 的 威胁 。 主 机 加 固 技术 对 操作 系统 、 数 据 库 等 进行 漏洞 加 固 和 
保护 ， 提 高 系统 的 抗 攻击 能 

6) 安全 审计 技术 : 包含 日 志 审 计 和 行为 审计 ， 通 过 日 志 审 计 协 助 管 理 员 在 受到 攻 
击 后 察看 网 络 日 志 ， 从 而 评估 网 络 配 置 的 合理 性 、 安 全 策略 的 有 效 性 ， 追 溯 分 析 安 全 攻 
击 轨迹 ， 并 能 为 实时 防御 提供 手段 。 通 过 对 员工 或 用 户 的 网 络 行为 审计 ， 确认 行 为 的 合 
规 性 ， 确 保管 理 的 安全 。 

7) 检测 监控 技术 : 对 信息 网 络 中 的 流量 或 应 用 内 容 进 行 0SI (开放 式 系统 互联 参 
考 模型 ) 2 ~7 层 的 检测 并 适度 监管 和 控制 ， 避 免 网 络 流量 的 滥用 、 垃 圾 信息 和 有 害 信 
息 的 传播 。 

本 书 第 三 篇 对 信息 安全 技术 进行 了 详细 的 介绍 ， 更 为 细致 的 内 容 请 参考 该 篇 。 
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第 4 章 
信息 安全 方针 


言 息 安全 工作 是 银行 运营 与 发 展 的 基础 和 核心 ， 是 保证 网 络 品质 的 基础 ， 是 保障 客 
户 利益 的 基础 。 信 息 安 全 方针 是 信息 安全 工作 的 高 度 浓缩 、 提 炼 和 整体 指导 策略 ， 为 了 
加 强 银行 信息 安全 保障 能 力 ， 建 立 健全 银行 的 安全 管理 体系 ， 需 要 建立 信息 安全 方针 并 
根据 方针 指导 实际 工作 。 本 章 介 绍 了 信息 安全 方针 的 基本 概念 、 原 则 和 主要 内 容 。 


4.1 信息 安全 方针 概述 


信息 安全 方针 是 为 了 加 强 银 行 信息 安全 保障 能 力 ， 建 立 健全 的 银行 安全 管理 体系 ， 
提高 整体 的 网 络 与 信息 安全 水 平 ， 保 证 网 络 通 信和 畅通 和 业务 系统 的 正常 运营 ， 提 高 网 络 
服务 质量 ,指导 银行 整体 信息 安全 的 工作 而 制定 的 信息 安全 整体 策略 。 

言 息 安全 方针 需要 明确 信息 安全 是 银行 各 部 门 所 有 员工 共同 分 担 的 责任 ， 与 每 一 个 
员工 的 日 常 工作 息息相关 ， 所 有 员工 必须 提高 认识 ， 高 度 重视 ， 从 自己 开始 ， 坚 持 不 懈 
地 做 好 网 络 与 信息 安全 工作 。 


4.2 信息 安全 方针 的 原则 


银行 信息 安全 方针 是 组 织 的 信息 安全 委员 会 或 管理 当局 制定 的 一 个 高 层 文件 ， 用 于 
间 导 组 织 如 何 对 资产 〈 包 括 敏 感 信息 ) 进行 管理 、 保 护 和 分 配 的 规则 和 指示 。 

言 息 安全 方针 应 当 阐 明 管 理 层 的 承诺 ， 提 出 组 织 管理 信息 安全 的 方法 ， 并 由 管理 层 
批准 ， 采 用 适当 的 方法 将 方针 传达 给 每 一 个 员工 。 

言 息 安全 方针 应 给 信息 安全 工作 提供 清晰 的 指导 方向 ， 加 强 安全 管理 工作 ， 保 证 业 
务 系统 的 安全 运营 。 

信息 安全 方针 应 适用 于 全 体 员工 。 
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言 息 安 全 方针 应 当 简明 、 扼 要 ， 便 于 理解 ， 通 常 包括 目标 、 范 围 、 意 
从 性 和 管理 责任 等 内 容 。 


让 
| 


、 法 规 的 遵 


4.3 信息 安全 方针 的 主要 内 容 


通常 ， 银 行 信息 安全 方针 包括 信息 安全 定义 、 信 息 安 全 管理 体系 的 范围 、 信 息 安 全 
工作 应 遵循 的 基本 原则 、 信 息 安 全 管理 的 目标 和 使 命 、 信 息 安全 管理 体系 实施 、 安 全 组 
织 机 构 及 职责 、 信 息 安全 工作 要 求 、 信 息 安全 方针 维护 等 方面 的 内 容 。 信 息 安 全 方针 并 
没有 一 个 统一 的 结构 和 内 容 ， 不 同 银行 根据 上 自身 实际 不 同 ， 其 内 容 也 有 所 差异 。 

以 下 是 银行 信息 安全 方针 的 一 个 示例 。 

某 银 行 信息 安全 方针 
经 信息 安全 委员 会 宙 核 通过，x x x x 年 x x 月 x x 日 通 寻 

1. 信息 安全 定义 

信息 是 一 种 资产 ， 就 像 其 他 重要 的 业务 资产 一 样 ， 对 于 组 织 的 业务 是 不 可 或 缺 的 ， 
因此 需要 妥善 保护 。 信 息 可 以 以 多 种 方式 存在 ， 可 以 打印 或 书写 在 纸张 上 ， 以 电子 文档 
形式 存储 ， 通 过 邮寄 或 电子 方式 传播 ， 以 胶片 形式 显示 或 在 交谈 中 表达 出 来 。 

信息 安全 就 是 要 保护 信息 的 保密 性 、 完 整 性 、 可 用 性 及 其 他 属性 ， 如 真实 性 、 可 核 
查 性 、 可 靠 性 、 防 抵赖 性 。 

2. 信息 安全 管理 体系 的 范围 

言 息 安全 管理 体系 通常 适用 于 银行 所 有 与 软件 开发 、 数 据 服 务 、 信 息 技 术 基础 设施 
及 其 他 支持 系统 相关 的 业务 活动 。 信 息 安 全 管理 的 范围 是 某 银 行 信息 技术 部 所 负责 管理 
和 维护 的 ， 为 关键 业务 流程 提供 信息 技术 支持 相关 资产 。 

3. 信息 安全 工作 应 遵循 的 基本 原则 

(1)“ 分 级 保护 ”原则 ”应 根据 各 业务 系统 的 重要 程度 及 面临 的 风险 大 小 等 因素 决 
定 各 类 信息 的 安全 保护 级 别 ， 分 级 保护 ， 合 理 投资 。 

(2)“ 同 步 规划 、 同 步 建 设 、 同 步 运 行 ” 原 则 ”安全 建设 应 与 业务 系统 同步 规划 、 
同步 建设 、 同 步 运 行 ， 在 任何 一 个 环节 的 下 忽 都 可 能 给 业务 系统 带 来 危害 。 

(3) “内 外 并 重 ” 原 则 安全 工作 需要 做 到 内 外 并 重 ， 在 防范 外 部 威胁 的 同时 ， 加 
强 规范 内 部 人 员 行 为 和 审计 机 制 。 

(4) “整体 规划 ， 分 步 实施 ”原则 ”需要 对 银行 信息 安全 建设 进行 整体 规划 ， 分 步 
实施 ， 逐 步 建立 完善 的 信息 安全 体系 。 

(5)“ 风 险 管理 ”原则 ”进行 安全 风险 管理 ， 确 认可 能 影响 信息 系统 的 安全 风险 ， 
并 以 较 低 的 成 本 将 其 降低 到 可 接受 的 水 平 。 

(6) “适度 安全 ”原则 没有 绝对 的 安全 ， 安 全 和 易 用 性 是 矛盾 的 ， 需 要 做 到 适度 
安全 ， 找 到 安全 和 易 用 性 的 平衡 点 。 
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(7) “三 分 技术 、 七 分 管理 ”原则 ”网络 与 信息 安全 不 是 单纯 的 技术 问题 ， 需 要 在 
采用 安全 技术 和 产品 的 同时 ， 重 视 安全 管理 ， 不 断 完善 各 类 安全 管理 规章 制度 和 操作 规 
程 ， 全 面 提高 安全 管理 水 平 。 

4. 信息 安全 管理 的 目标 和 使 命 
通过 信息 安全 管理 ， 旨 在 确保 银行 信息 技术 部 所 有 的 信息 资产 的 机 蜜 性、 完整 性 和 
可 用 性 ， 以 及 信息 技术 部 基础 架构 、 信 息 系统 的 连续 性 和 可 用 性 。 为 银行 的 业务 应 用 提 
供 安 人 全、 稳定、 连续 的 信息 技术 支撑 。 

1) 保障 业务 正常 和 安全 运行 ， 保 证 业务 连续 性 。 

2) 保护 客户 隐私 ， 保 护 客户 资料 的 机 密 性 ， 维 护 客户 的 利益 。 

3) 保护 银行 的 商业 机 密 和 技术 机 密 ， 维 护 银行 的 利益 。 

5. 信息 安全 管理 体系 实施 

银行 信息 技术 部 设立 信息 安全 管理 委员 会 来 领导 信息 安全 各 项 工作 。 

提高 员工 整体 的 信息 安全 意识 ， 提 高 信息 系统 技术 维护 人 员 的 安全 技能 水 平和 规范 
操作 意识 ; 所 有 员工 都 必须 接受 信息 安全 培训 和 教育 ， 增 强 信息 安全 意识 。 

应 该 遵守 各 项 法 律 法 规 要 求 ， 同 时 利用 法 律 法 规 来 保护 银行 信息 技术 部 的 利益 。 

应 该 选择 适当 的 方法 ， 识 别 并 评 佑 银行 信息 技术 部 面临 的 信息 安全 风险 ， 并 采取 恰 
当 措 施 予 以 处 理 。 

建立 有 效 的 审核 机 制 ， 加 强 对 信息 安全 各 项 工作 的 监督 与 审核 。 

应 该 采取 一 套 有 效 的 安全 事件 管理 机 制 ， 明 确 所 有 员工 的 安全 责任 ， 建 立 对 已 发 生 
或 可 疑 的 信息 安全 事件 的 报告 及 响应 流程 ， 并 对 违反 安全 策略 的 人 员 进 行 惩罚 。 

6. 安全 组 织 机 构 及 职责 

在 信息 安全 方针 中 ， 可 以 对 银行 信息 安全 组 织 机 构 及 职责 
安全 组 织 及 人 员 安 全 管理 部 分 进行 指导 。 银 行 信息 安全 组 织 通 
组 、 信 息 安全 主管 及 安全 员 。 

银行 信息 安全 领导 小 组 是 由 银行 主管 信息 安全 工作 的 高 层 领导 主持 ， 由 银行 信息 安 
全 主管 与 各 部 门 主管 组 成 的 银行 信息 安全 工作 常设 领导 组 织 ， 是 银行 信息 安全 工作 的 最 
高 决策 机 构 和 领导 机 构 ， 全 面 负责 银行 信息 安全 各 项 工作 。 
银行 信息 安全 工作 小 组 是 银行 信息 安全 工作 的 执行 机 构 ， 由 银行 信息 安全 主管 担任 
组 长 ， 成 员 包 括 各 部 门 安全 管理 员 。 
银行 信息 安全 主管 ， 由 银行 信息 安全 领导 小 组 产生 ， 具 体 负责 信息 安全 管理 的 各 项 
工作 ， 并 直接 向 信息 安全 领导 小 组 汇报 工作 。 
银行 各 部 门 安全 管理 员 ， 由 银行 各 部 门 产生 ， 具 体 负 责 部 门 内 部 信息 安全 管理 的 各 
项 工作 ， 并 直接 向 信息 安全 主管 汇报 工作 。 

7. 信息 安全 工作 要 求 

银行 和 各 部 门 必须 建立 和 完善 信息 安全 管理 规章 制度 和 操作 程序 ， 规 范 和 加 强 信息 
安全 管理 工作 ， 所 有 员工 必须 遵守 与 其 相关 的 信息 安全 规章 制度 。 


进行 简要 描述 ， 以 对 信息 
常 包括 领导 小 组 、 工 作 小 
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加 强 内 部 人 员 的 安全 管理 ， 依 据 最 小 特权 原则 清晰 划分 岗位 ， 在 所 有 岗位 职责 中 明 
确信 息 安 全 责任 ， 要 和 工作 岗位 实现 职责 分 离 ， 关 键 事务 双人 临 岗 ， 重 要 岗位 要 有 人 员 
备份 ， 定 期 进行 人 员 的 安全 审查 。 

所 有 员工 都 应 签署 保密 协议 ， 并 接受 信息 安全 教育 培训 ， 提 高 安全 意识 ， 及 时 报告 
网 络 与 信息 安全 事件 。 

必须 加 强 第 三 方 访问 和 外 包 服 务 的 安全 控制 ， 在 风险 评 佑 的 基础 上 制定 安全 控制 措 
施 ， 并 与 第 三 方 银行 和 外 包 服 务 银行 签署 安全 责任 协议 ， 明 确 其 安全 责任 。 

各 部 门 必须 加 强 信息 资产 管理 ， 建 立 和 维护 信息 资产 清单 ， 维 护 最 新 的 网 络 拓 扑 
图 ， 建 立信 息 资产 责任 制 ， 对 信息 资产 进行 分 类 管理 和 贴标签 。 

加 强 机 房 和 办 公 区 域 的 安全 管理 ， 为 设备 的 正常 运行 提供 物理 和 环境 安全 保障 。 

建立 日 常 维护 操作 规程 和 变更 控制 规程 ， 规 范 日 常 运行 维护 操作 ， 严 格 控制 和 审批 
任何 变更 行为 。 

加 强项 目 建设 的 安全 管理 ， 配 套 安全 系统 必须 与 业务 系统 “同步 规划 、 同 步 建设 、 
同步 运行 "， 加 强 安全 规划 、 安 全 审批 、 安 全 验收 管理 。 

加 强 防范 恶意 软件 ， 所 有 终端 及 服务 需 必 须 安装 防 病毒 系统 ， 定 期 更 新 病毒 特征 代 
码 ， 及 时 报告 发 现 的 病毒 。 

按照 补丁 跟 进 和 发 布 、 补 丁 获 取 、 补 丁 测试 、 补 本 加载、 补丁 验证 、 补 丁 归 档 这 一 
流程 进行 补丁 安全 管理 。 

建立 维护 作业 计划 ， 严 格 执行 维护 作业 计划 ， 加 强 对 设备 、 操 作 系统 、 数 据 库 、 应 
用 系统 的 运行 监控 ， 编 写 日 常 运行 维护 报告 。 

部 署 网 络 层面 和 系统 层面 的 访问 控制 、 安 全 审计 及 安全 监控 技术 措施 ， 保 障 业务 系 
统 的 安全 运行 。 

增强 主机 系统 的 安全 配置 ， 定 期 进行 安全 评估 和 安全 加 固 。 

制定 各 业务 系统 的 应 急 方案 ， 定 期 更 新 、 维 护 和 测试 ， 做 好 数据 备份 工作 ， 确 保 数 
据 的 及 时 恢复 ， 保 证 数据 的 安全 。 

加 强 用 户 账 号 和 权限 管理 ， 按 照 最 小 特权 原则 为 用 户 分 配 权 限 ， 避 免 出 现 共用 账号 
的 情况 。 

加 强 用 户口 令 的 管理 ， 口 令 长 度 至 少 8 位 ， 并 采用 数字 、 字 母 和 特殊 字符 的 组 合 ， 
定期 修改 用 户口 令 。 

加 强 应 用 系统 的 安全 管理 ， 包 括 软件 开发 安全 管理 、 投 产 测试 和 上 线 安全 管理 、 应 
用 软件 版 本 和 配置 管理 ， 加 强 外 包 开发 的 业务 系统 软件 的 安全 管理 。 

建立 安全 检查 制度 和 安全 处 罚 制度 ， 对 违反 规章 制度 的 部 门 和 人 员 按 照 规定 进行 处 罚 。 

8. 信息 安全 方针 维护 

1) 信息 安全 经 理 负 责 本 方针 的 维护 ， 并 在 方针 执行 期 间 提供 支持 。 

2) 各 部 门 经 理 直 接 负责 方针 的 执行 ， 确 保 各 部 门 员工 都 能 遵守 本 方针 。 

3) 信息 安全 方针 必须 强制 执行 。 

4) 本 方针 由 银行 信息 安全 管理 委员 会 负责 每 年 重新 审 订 。 
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信息 安全 组 织 和 人 员 信 息 安全 管理 是 银行 信息 安全 工作 得 以 执行 的 基础 。 本 章 重 点 
介绍 了 银行 信息 安全 组 织 ， 包 括 信息 安全 组 织 的 构建 原则 、 架 构 、 岗 位 和 职责 设计 、 信 
息 科 技 部 门 与 其 他 部 门 的 关系 。 信 息 安 全 组 织 的 落实 需要 靠 银行 各 级 人 员 在 日 常 工作 中 
对 信息 安全 的 遵守 和 支持 ， 本 章 最 后 对 人 员 安 全 管理 进行 了 介绍 。 


5.1 银行 信息 安全 组 织 的 构建 原则 


银行 信息 安全 组 织 的 构建 应 充分 体现 其 合 规 性 、 先 进 性 及 可 操作 性 ， 因 此 在 组 织 的 
构建 过 程 中 应 充分 考虑 以 下 原则 。 

1) 符合 相关 的 国家 法 律 法 规 及 监管 机 构 的 要 求 。 法 律 法 规 及 监管 机 构 的 要 求 既 是 
对 安全 组 织 构建 的 重要 约束 ， 同 样 在 组 织 的 构建 过 程 中 也 能 够 体现 重要 的 支撑 支持 作 
用 ， 是 银行 信息 安全 组 织 能 够 有 效 落地 的 重要 支撑 。 

2) 能 否 达 成 集中 政策 、 分 级 管理 、 专 业 分 工 、 权 责 明 晰 的 架构 是 信息 安全 组 织 能 
够 高 效 运转 的 重要 保障 。 

3) 通过 合 规 、 审 计 、 管 理 、 执 行 等 相关 岗位 的 分 离 和 相互 制约 的 设计 减少 安全 管 
理 过 程 中 的 共 谋 风险 。 

4) 通过 条 块 结合 的 管理 矩阵 模式 提升 安全 管理 效率 ， 体 现 信息 安全 管理 的 全 面 性 。 

5) 运作 机 制 借鉴 国内 外 最 佳 信息 技术 治理 实践 。 通 过 引入 并 应 用 国内 外 信息 安全 
管理 的 最 佳 实践 ， 实 现 信 息 安 全 管控 工作 的 先进 性 。 


5.2 银行 信息 安全 组 织 的 架构 


基于 上 文 所 述 的 银行 信息 安全 组 织 的 构建 原则 ， 银 行 信息 安全 组 织 的 构建 从 总 体 上 
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可 采取 以 下 的 架构 ， 即 安全 决策 层 、 安 全 管理 层 、 安 全 执行 层 、 安 全 监管 层 (包括 安 
全 合 规 层 、 安 全 审计 层 ) (图 5-1)。 


安全 决策 层 。 信 息 安全 委员 会 。 信 息 安全 委员 会 对 信息 安全 负 有 最 终 的 责任 ， 
全 对 信息 安全 重大 事项 进行 决策 。 


。 信 息 科技 部 门 、 风 险 管理 部 门 ,审计 部 门 、 人 力 资源 管理 部 门 、 办 
安全 管理 层 | 。 公 室 .监察 保卫 部 门 。 各 部 门 在 信息 安全 委员 会 的 领导 下 ， 共 同 
执行 信息 安全 管理 任务 。 


_， | 一 法 律 合 规 部 门 .信息 科技 部 门 . 风 险 管理 部 门 。 这 3 个 部 门 负责 信 
安全 合 规 层 | 。 息 安 全 的 合 规 管理 。 


安全 审计 层 | 。 审 计 部 门 。 该 部 门 负责 信息 安全 的 审计 。 


有 执行 层 | 信息 科技 部 门 、 业 务 部 门 、 合 作 伙伴 、 分 行 及 全 行 各 级 员工 。 这 些 
安全 执行 层 部 门 具体 落实 和 执行 信息 安全 决策 。 


图 5-1 银行 信息 安全 组 织 架 构 概 览 图 


1. 安全 决策 层 

不 同 银行 在 管理 组 织 架 构 、 治 理 结 构 、 工 作 程序 上 存在 一 定 的 差异 性 ， 但 从 信息 安 
全 工作 开展 的 原则 上 出 发 ， 为 了 便于 信息 安全 工作 在 全 行 层 面 的 有 效 推动 开展 并 切实 落 
地 ， 建 议 设置 独立 的 信息 安全 决策 机 构 ， 如 信息 安全 管理 委员 会 ， 并 酌情 在 其 架构 下 设 


置信 息 安全 工作 小 组 。 信 息 安全 的 决策 层 应 定位 为 全 行 的 信息 安全 决策 机 构 ， 在 决策 层 
的 组 成 上 应 纳入 具备 足够 授权 的 高 层 管理 者 ， 建 议 的 组 成 人 员 包 括 银 行经 营 决策 层 分 管 
科技 的 行 领导 、 信 息 科技 部 门 总 经 理 、 法 律 合 规 部 门 总 经 理 、 内 审 部 门 总 经 理 ， 并 结合 
银行 管理 组 织 架 构 、 治 理 结构 特点 酌情 纳入 业务 部 门 分 管 领导 。 

银行 信息 安全 管理 委员 会 及 其 下 设 工作 小 组 建议 的 工作 职责 包括 : 

1) 负责 审议 安全 合 规 评估 报告 。 

2) 负责 审议 信息 安全 风险 评估 报告 、 信 息 安 全 风险 管理 工作 报告 。 

3) 审核 重大 信息 安全 风险 的 处 置 方 案 。 

4) 审核 信息 安全 管理 部 门 提交 的 与 信息 安全 相关 的 策略 、 标 准 、 总 体 规划 、 培 训 
计划 。 

5) 决策 信息 安全 相关 的 重大 事宜 。 

6) 协调 银行 内 信息 安全 组 织 内 部 ， 以 及 和 其 他 部 门 之 间 的 工作 。 

7) 审核 重大 安全 事件 处 理 结 果 报 告 ， 并 审批 改进 策略 。 

8) 审议 信息 安全 内 审 制度 和 年 度 审 计 计 划 、 年 度 信息 安全 内 部 审计 报告 ; 督促 已 
发 现 的 安全 审计 问题 的 整改 落实 。 

9) 其 他 信息 安全 决策 性 工作 。 
50 


一 > 


信息 安全 组 织 及 人 员 安 全 管理 | 第 5 章 | 


2. 安全 管理 层 

从 提升 银行 信息 安全 管理 效率 的 目的 出 发 ， 通 常 在 银行 内 规划 设立 专职 的 信息 安全 
管理 团队 。 在 信息 安全 管理 上 ， 该 安全 团队 应 接受 信息 安全 管理 委员 会 的 领导 ， 并 在 其 
管理 下 开展 信息 安全 相关 管理 工作 。 

1) 安全 管理 层 需要 总 体 协调 、 推 动 信息 安全 各 项 管理 工作 。 

2) 组 织 搜集 、 整 理 并 提供 支持 信息 安全 决策 的 相关 数据 、 信 息 和 资料 。 

3) 审议 银行 内 部 信息 安全 管理 的 年 度 工作 方案 和 工作 计划 。 

4) 每 季度 定期 组 织 会 议 ， 制 定 全 行 信息 安全 制度 及 信息 安全 体系 建设 方案 ， 监 
督 、 指 导 、 评 估 、 评 价 重大 信息 安全 监管 标准 的 遵从 、 落 实 、 执 行情 况 。 

5) 评估 认定 重大 信息 系统 及 信息 安全 事件 造成 的 隐患 、 风 险 、 损 失 和 责任 。 

6) 定期 向 信息 科技 部 门 报告 信息 安全 战略 规划 的 执行 、 信 息 安 全 整体 状况 及 其 他 
需要 报告 事项 (图 5-2) 。 


旨 山 事 款 毒 


图 5-2 安全 管理 层 


3. 安全 执行 层 
为 了 保障 信息 安全 工作 能 够 在 全 行 范围 内 高 效 地 开展 ， 应 明确 识别 与 信息 安全 相关 
的 岗位 ， 确 保 其 日 常 信息 安全 工作 得 以 被 指导 、 监 控 、 检 查 、 报 告 。 从 岗位 分 布 看 ， 可 
归 类 为 信息 科技 条 线 信息 安全 执行 岗位 〈 如 科技 部 门 系统 管理 员 等 ) 与 非 科 技 条 线 信 
息 安 全 执行 岗位 〈 如 业务 部 门 内 设 信息 安全 员 岗 位 ) 。 
4. 安全 监督 层 
为 了 充分 地 保证 信息 安全 工作 监管 的 独立 性 ， 信 息 安 全 的 监管 类 岗位 通常 在 银行 的 
内 审 部 门 进行 设置 ， 专 职 开 展 信息 安全 的 日 常 审计 工作 ; 安全 监督 层 需要 监督 全 行 运 行 
系统 操作 规程 、 管 理 办 法 、 实 施 细则 、 应 急 计划 和 控制 技术 等 的 实施 ; 安全 监督 层 还 需 
要 根据 行内 外 信息 安全 形势 ， 制 订 年 度 和 专项 信息 安全 检查 计划 ， 并 且 需 要 对 信息 安全 
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检查 结果 进行 分 析 、 总 结 ， 形 成 后 续 的 信息 安全 工作 方向 的 输入 。 


5.3 信息 安全 组 织 相关 岗位 及 职责 设 ? 


上 文 对 信息 安全 组 织 的 构建 进行 了 剖析 ， 对 各 种 信息 安全 管理 组 织 的 构建 方式 进行 
了 横向 的 对 比 。 银 行 在 明确 信息 安全 管理 组 织 后 ， 还 应 结合 管理 组 织 架构 及 信息 安全 管 
理 开 展 的 模式 ， 配 备 相应 的 安全 管理 岗位 、 安 全 监管 岗位 、 安 全 执行 岗位 人 员 ， 并 明确 
其 相应 的 安全 职责 。 信 息 安 全 相关 岗位 如 图 5-3 所 示 。 


通过 虚拟 组 织 连接 管理 和 执行 ， 增 强 信息 安全 执行 效果 
虚拟 组 织 的 体现 有 多 个 层面 ， 包 括 科技 部 内 部 、 运营 支 持 部 门 、 业务 部 门 、 分 行 、 合 作 伙伴 及 供应 商 


安全 架构 师 


合 
作 
伙 
伴 安 
及 全 
供 员 
应 
商 


图 5-3 ”信息 安全 相关 岗位 示例 图 
在 银行 的 信息 安全 管理 实践 中 ， 还 应 结合 实际 的 管理 模式 对 岗位 的 汇报 关系 、 工 作 


职责 、 工 作 开展 方式 、 es 
言 息 安全 相关 的 岗位 设置 及 其 职责 定义 。 


5.3.1 信息 安全 管理 类 相关 岗位 


(1) 信息 安全 经 理 岗 “负责 信息 安全 管理 在 全 行 范围 内 的 统筹 开展 。 

1) 组 织 全 行 的 信息 安全 策略 、 管 理 标准 、 安 全 技术 规范 的 制定 、 更 新 及 培训 。 

2) 代表 信息 安全 管理 部 门 向 信息 安全 管理 委员 会 上 报信 息 技术 安全 策略 、 管 理 标 
准 、 安 全 技术 规范 。 

3) 负责 全 行 的 信息 安全 的 整体 规划 ， 并 监督 实施 。 

4) 组 织 评审 项 目的 安全 符合 性 。 

5) 组 织 调查 和 处 理 全 行 范围 内 重大 信息 安全 事件 。 

6) 组 织 制 订 信 息 安全 风险 评 佑 、 安 全 检查 的 年 度 计 划 。 
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7) 组 织 进行 信息 安全 风险 评估 和 安全 检查 ， 提 出 风险 控制 或 安全 改进 措施 ， 并 监 
督 相关 措施 的 执行 。 

(2) 信息 安全 规划 岗 ”负责 制定 安全 策略 、 信 息 安 全 管理 制度 ; 监督 检查 信息 安 
全 管理 制度 的 执行 。 

1) 组 织 制定 、 更 新 全 行 信息 安全 管理 制度 、 标 准 和 管理 流程 。 

2) 组 织 全 行 的 信息 安全 管理 制度 及 流程 的 培训 工作 。 

3) 推动 、 监 督 、 检 查 行内 信息 安全 管理 制度 的 执行 。 

4) 负责 与 银行 相关 的 第 三 方 合作 伙伴 进行 定期 的 安全 交流 ， 获 得 当前 最 新 的 安全 
管理 方法 和 先进 的 安全 管理 经 验 。 

5) 参与 银行 安全 的 整体 规划 的 制定 ， 以 及 实施 过 程 中 的 监督 。 

6) 参与 信息 安全 风险 评估 和 重大 信息 安全 事件 的 调查 处 理 。 

7) 定期 向 信息 安全 经 理 提 交 本 职工 作 报告 及 下 一 步 工 作 的 规划 和 安排 。 

8) 参与 制订 全 行 的 信息 安全 预算 计划 。 

(3) 信息 安全 设计 岗 “负责 信息 安全 相关 的 技术 架构 ， 主 要 包括 路 由 顺 、 交 换 机 、 
防火 墙 、 入 侵 检 测 、 主 机 服务 器 、 数 据 库 及 中 间 件 、 中 间 件 、 应 用 软件 等 相关 的 实施 及 
部 署 ; 以 及 对 全 行 的 信息 安全 技术 执行 情况 进行 监督 、 检 查 、 支 持 。 

1) 组 织 制定 、 更 新 全 行 信息 安全 架构 。 

2) 组 织 行内 的 信息 安全 技术 规范 的 培训 工作 。 

3) 监督 、 检 查 行内 信息 安全 技术 规范 的 执行 。 

4) 指导 、 监 督 软件 开发 中 的 安全 技术 手段 和 控制 措施 的 符合 性 。 

5) 负责 与 相关 的 第 三 方 合 作 伙伴 进行 定期 的 安全 技术 交流 ， 获 得 当前 最 新 的 安全 
技术 。 

6) 参与 行内 安全 集成 、 安 全 服务 、 安 全 咨询 项 目的 规划 和 项 目 开发 中 的 安全 技术 
和 监督 工作 。 

7) 为 信息 安全 审计 人 员 提 供 合适 的 信息 技术 安全 审计 工具 及 技术 支持 。 

8) 定期 向 信息 安全 经 理 提 交 相 关 本 职工 作 报告 及 下 一 步 工 作 的 规划 和 安排 。 

9) 参与 信息 安全 风险 评估 和 重大 信息 安全 事件 的 调查 处 理 。 

10) 参与 制订 行内 的 信息 安全 预算 计划 。 

(4) 信息 安全 合 规 岗 ”根据 国家 的 相关 法 律 、 法 规 对 行内 信息 安全 策略 、 制 度 、 
流程 进行 合 规 指导 和 监督 ; 并 为 一 些 严 重 安全 事件 提供 法 律 上 的 支持 。 

1) 了 解 和 信息 安全 相关 的 国内 外 法 律 、 法 规 。 

2) 审核 全 行 范围 的 相关 信息 安全 策略 、 标 准 和 流程 的 合 规 性 ， 并 提出 修改 建议 。 

3) 定期 向 信息 安全 管理 委员 会 提交 行内 的 《信息 安全 合 规 报 告 》。 

(5) 安全 员 岗 ”为 了 保证 信息 安全 在 全 行 范围 内 能 够 有 效 地 贯彻 落实 ， 通 常 在 相 
关 的 组 织 部 门 内 设置 信息 安全 员 岗 位 ， 参 与 信息 安全 策略 、 标 准 等 管理 制度 的 制定 工 
作 ， 制 定 并 上 报 本 职能 范围 的 信息 安全 规划 ， 人 负责 推动 和 监督 其 所 辖 范 围 内 的 执行 。 

1) 组 织 制定 、 更 新 全 行 信息 安全 架构 。 
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2) 根据 需要 参与 信息 安全 策略 、 标 准 及 技术 规范 的 制定 、 改 进 及 更 新 工作 。 

3) 在 总 体 安 全 规划 下 ， 按 原 有 流程 制定 并 上 报 本 职能 部 门 负责 的 信息 安全 规划 、 
预算 计划 和 培训 计划 。 

4) 组 织 推动 信息 安全 规划 、 培 训 计 划 的 实施 。 

5) 负责 所 辖 范 围 内 的 信息 安全 制度 、 技 术 安 全 培训 工作 。 

6) 及 时 就 信息 安全 制度 执行 效果 、 反 馈 意见 和 有 关 重 大 隐患 向 信息 安全 管理 经 理 
反馈 。 

7) 推动 、 监 督 所 辖 范围 内 信息 安全 制度 的 执行 。 

8) 审批 所 辖 范 围 内 与 信息 安全 相关 的 其 他 重要 事项 。 

9) 参与 处 理 所 辖 范围 内 的 重大 信息 安全 事件 。 

10) 定期 编写 所 辖 范 围 内 的 信息 安全 报告 ,并 向 信息 安全 经 理 提 交 报告 。 


5. 3.2 信息 安全 执行 类 相关 岗位 


(1) 安全 执行 管理 岗 ”负责 信息 科技 条 线 相关 安全 运 维 的 管理 工作 。 

1) 负责 制定 全 行 科技 的 信息 安全 运行 规划 ， 包 括 服务 器 可 用 性 保障 规划 ， 链 路 宛 
余 规 划 ， 信 息 技术 基础 设备 安全 评估 加 固 规划 、 备 份 规划 及 安全 培训 计划 等 。 

2) 组 织 实 施 各 项 规划 内 容 ， 并 负责 监督 、 评 佑 和 改进 。 

3) 组 织 相关 安全 操作 规程 、 管 理 办 法 、 实 施 细则 、 应 急 计 划 等 的 制定 、 更 新 ， 并 
向 安全 管理 经 理 报 备 。 

4) 推动 、 监 督 全 行 运行 系统 操作 规程 、 管 理 办 法 、 实 施 细则 、 应 急 计 划 和 控制 技 
术 等 的 实施 。 

5) 组 织 相关 人 员 参 加 信息 安全 制度 、 技 术 安 全 培训 工作 。 

6) 及 时 就 信息 安全 制度 执行 效果 、 反 馈 意 见 和 有 关 重 大 隐患 向 信息 安全 经 理 

7) 定期 提交 《信息 安全 运行 状况 报告 》。 

8) 负责 组 织 进行 信息 安全 的 自我 评估 和 自我 完善 。 

9) 配合 调查 和 处 理 系 统 的 重大 安全 运行 事故 或 生产 故障 。 

10) 定期 组 织 进 行 科技 突 发 事件 的 应 急 演练 ， 完 善信 息 系 统 突 发 事件 应 急 计划 。 

11) 协助 、 检 查 其 他 安全 专员 安全 制度 的 执行 ， 如 网 络 安全 专员 等 。 

12) 协助 、 协 调 安全 检查 和 调查 工作 。 

(2) 其 他 安全 执行 岗 ”包括 系统 安全 网 、 网 络 安 全 岗 、 应 用 安全 网 、 物 理 安全 岗 、 
数据 安全 岗 、 数 据 库 安全 岗 、 开 发 安全 岗 等 。 

1) 各 类 组 成 岗位 人 员 实际 上 隶属 于 银行 信息 科技 部 门 的 各 个 处 室 ， 只 是 在 执行 信 
息 安全 活动 时 接受 信息 安全 管理 部 门 的 业务 指导 。 

2) 该 类 网 位 的 安全 执行 的 职责 主要 为 其 所 负责 相关 领域 的 信息 安全 标准 的 执行 ， 
相关 信息 安全 事件 的 协助 分 析 与 报告 ， 配 合 信 息 安全 检查 、 信 息 安全 审计 工作 的 开展 。 
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5. 3.3 信息 安全 监督 类 相关 岗位 


(1) 安全 审计 经 理 岗 “负责 统筹 管理 信息 安全 审计 工作 。 

1) 制订 年 度 的 信息 安全 内 部 审核 工作 计划 及 信息 安全 审计 制度 。 
2) 建立 能 进行 审核 工作 的 独立 信息 安全 内 审 团 队 。 

3) 对 信息 安全 审计 过 程 中 的 质量 控制 负责 。 

4) 对 信息 安全 审计 发 现 问题 的 改进 措施 进行 跟踪 。 

(2) 安全 审计 岗 “负责 信息 安全 审计 工作 的 开展 执行 。 

1) 参与 制定 、 更 新 信息 安全 内 审 制 度 。 

2) 参与 制订 信息 安全 总 体 审计 计划 。 

3) 执行 年 度 信息 安全 内 审计 划 并 对 信息 安全 审计 工作 进度 和 质量 负责 。 
4) 及 时 向 信息 安全 审计 经 理 反馈 审计 工作 中 发 现 的 重大 安全 隐患 。 
5) 定期 向 信息 安全 审计 经 理 提 交 信息 安全 审计 报告 。 


5.3.4 其 他 信息 安全 类 岗位 


其 他 信息 安全 类 岗位 如 第 三 方 信息 安全 顾问 ， 是 信息 安全 某 些 领域 的 专家 (信息 
安全 管理 、 信 息 安 全 技术 等 领域 专家 ) ， 合 理 地 引入 信息 安全 顾问 服务 可 以 作为 银行 信 
息 安 全 管理 实践 过 程 中 的 有 效 补 充 ， 提 升 信息 安全 管理 的 成 熟 度 。 


5.4 安全 部 门 与 行内 其 他 部 门 的 关系 定位 


银行 的 信息 安全 组 织 需 要 有 足够 的 力量 去 保证 信息 安全 管理 制度 的 有 效 实施 。 这 尤 
其 反映 在 与 其 他 组 织 的 协调 、 合 作 机 制 中 。 大 量 的 实践 表明 ， 信 息 安全 管理 部 门 应 当 与 
以 下 组 织 建立 起 良好 而 有 效 的 长 期 工作 关系 。 

1. 业务 部 门 

言 息 安 全 管理 组 织 必 须 帮 助 和 指导 核心 业务 部 门 ， 确 保 应 用 系统 的 开发 和 修改 符合 
业务 流程 的 同时 也 满足 信息 安全 的 需求 ; 并 且 协 助 业 务 部 门 发 现 、 处 理 及 解决 安全 事 
件 ; 对 相关 员工 进行 安全 职责 教育 。 

2. 业务 流程 制定 者 

信息 安全 组 织 需要 经 常 性 地 与 业务 流程 制定 者 沟通 ， 为 他 们 提供 信息 安全 方面 的 指 
导 。 业 务 流程 负责 人 需要 在 每 个 科技 开发 项 目的 开始 及 整个 生命 周期 过 程 中 考虑 信息 安 
全 。 它 包括 在 需求 文档 、 服 务 质量 协议 和 业务 持续 性 计划 中 提出 信息 安全 需求 ， 确 定 风 
险 。 业 务 流程 负责 人 决定 谁 可 以 创建 、 访 问 、 修 改 或 删除 信息 ， 通 常 是 通过 定义 用 户 组 
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和 授予 相应 的 权限 来 实现 的 。 
. 办公 室 / 行 政 部 门 /监察 保卫 部 门 
信息 安全 组 织 需要 遵守 办 公 室 /行政 部 门 / 监 察 保卫 部 门 关于 物理 安全 方面 的 各 项 规 
定 ， 协 助 完成 物理 安全 保卫 工作 。 
4. 人 力 资源 管理 部 门 
在 信息 安全 意识 培训 、 违 背 信息 安 全 制度 的 处 罚 措施 等 方面 ， 信 息 安全 组 织 需 要 遵 
循 人 力 资 源 管理 部 门 的 相关 规定 ， 并 尽 可 能 得 到 其 支持 。 


5.5 人 员 安 全 管理 


1. 内 部 人 员 

(1) 雇佣 过 程 ” 从 信息 安全 观点 看 ， 雇 佣 员 工 的 过 程 中 存在 较 多 潜在 的 信息 安全 
隐患 。 安 全 管理 人 员 应 与 人 力 资源 部 门 员工 建立 相应 的 沟通 合作 机 制 ， 将 信息 安全 因素 
作为 人 员 雇 佣 过 程 中 的 重要 考量 。 

在 具体 的 实践 中 可 考虑 的 安全 控制 主要 为 人 员 的 身份 背景 调查 。 人 员 的 身份 背景 调 
查 应 结合 所 招募 岗位 的 安全 敏感 级 别 在 实施 的 详细 程度 和 深度 上 有 所 不 同 ， 如 信息 安全 
职位 的 候选 人 应 该 经 历 更 为 详细 而 全 面 的 背景 调查 。 

一 些 常见 的 背景 调查 包括 身份 核查 、 教 育 和 证 书 检查 、 历 史 工 作 经 验 验 证 、 信 用 历 
史 核 查 (我 国 的 信用 管理 体系 正在 逐步 完善 中 ， 且 已 取得 了 较为 长 足 的 进展 ) 、 违 法 违 
规 记录 调查 等 。 

(2) 在 职 

1) 保密 协议 及 信息 资产 访问 授权 确认 。 一 旦 候选 人 接受 了 工作 ， 雇 佣 合 同 就 成 了 
重要 的 安全 文件 。 在 雇佣 合同 中 可 考虑 部 署 信息 安全 相关 的 保密 协议 。 另 外 ， 涉 及 针对 
应 用 信息 系统 或 重要 资源 的 访问 ， 还 可 考虑 要 求 员 工 签署 针对 信息 资产 访问 /使 用 权限 
的 授权 确认 。 

2) 安全 意识 提升 、 培 训 和 教育 。 意 识 提 升 、 培 训 和 教育 计划 能 够 有 效 地 改善 员工 
的 行为 及 使 员工 对 他 们 的 工作 更 有 责 es 

在 安全 培训 中 应 充分 考虑 针对 不 同 岗位 员工 的 信息 安全 教育 的 差异 化 ， 如 针对 安全 
专业 人 员 的 信息 安全 专业 技能 培训 、 信 息 科技 人 员 的 安全 知识 教育 、 一 般 员 工 与 管理 层 
的 安全 意识 的 培养 教育 之 间 的 差异 性 。 

安全 意识 提升 作为 最 有 效 的 安全 提升 方法 ， 可 以 有 效 地 纠正 员工 所 有 人 危害 银行 信息 
安全 的 行为 。 通 过 教导 员工 怎样 正确 地 处 理 信息 、 应 用 信息 ， 能 够 降低 偶然 损害 或 者 信 
息 破 坏 的 风险 性 ; 通过 让 员工 了 解 信息 安全 的 威胁 、 这 些 威胁 能 够 导致 的 潜在 损坏 及 这 
此 威胁 发 生 的 方式 ， 降 低 因 员工 认为 这 些 威胁 不 严重 而 带 来 的 潜在 风险 ， 通 过 使 员工 了 
解 策略 、 没 有 遵循 策略 将 受到 的 惩罚 和 策略 破坏 被 发 现 的 机 制 ， 降 低 一 个 员工 试图 有 意 
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错 用 和 滥用 信息 的 可 能 性 。 许 多 安全 意识 用 较 低 的 成 本 就 可 以 开展 ， 如 录像 、 演 讲 、 会 
议 、 海 报 、 小 册子 、 小 饰物 和 布告 牌 等 。 

为 了 提升 信息 安全 管理 效应 ， 银 行 还 可 考虑 把 信息 安全 纳入 员工 的 业绩 评估 中 。 员 
工 密切 关注 业绩 评估 ， 把 信息 安全 任务 包含 进 业 绩 评估 可 促使 员工 在 执行 任务 时 更 加 
小 心 。 

银行 员工 在 职 过 程 中 的 典型 安全 管理 实践 还 包括 采取 双人 控制 、 职 责 分 离 、 职 位 轮 
换 、 强 制 休假 等 措施 。 

(3) 人 员 解 聘 在 人 员 解 聘 过 程 中 应 主要 考虑 对 员工 访问 信息 的 保护 。 具 体 的 实 
践 可 考虑 : 

1) 离 任 员工 对 信息 系统 的 访问 授权 必须 失效 。 

2) 离 任 员工 应 确认 归还 所 使 用 的 信息 资产 ,包括 电脑 、 移 动 存储 介质 等 。 

3) 应 取消 离 任 员工 对 银行 职场 、 敏 感 区 域 的 物理 访问 授权 。 

针对 安全 等 级 较 高 的 岗位 的 员工 的 离职 ， 还 可 考虑 开展 离职 审查 、 签 署 保密 协议 等 。 

2. 外 包 服 务 人 员 

针对 外 包 服 务 人 员 的 管理 ， 尤 其 是 涉及 银行 敏感 信息 访问 、 信 息 资 产 访问 的 外 包 服 
务 人 员 的 管理 与 内 部 人 员 的 安全 管理 较为 相似 ， 推 荐 针对 外 包 服 务 人 员 的 安全 管理 同样 
采取 分 阶段 的 形式 来 开展 。 同 时 ， 银 监 会 在 2013 年 颁布 了 《银行 业 金 融 机 构 信 息 科 技 
外 包 风 险 监 管 指引 》， 其 中 也 对 外 包 人 员 的 安全 管理 方面 提出 了 相应 的 要 求 。 

(1) 提供 服务 前 ”银行 人 力 资 源 管理 部 门 应 制定 相应 的 筛选 流程 ， 其 中 应 包含 对 
外 包 服 务 人 员 在 人 场 前 进行 背景 检查 (无 犯罪 记录 、 社 保 缴纳 记录 、 技 术 能 力 与 资质 ) 
的 要 求 (咨询 信息 安全 管理 部 门 的 意见 ) 。 该 检查 应 与 业务 需求 、 已 知 风险 相 适 宜 ， 且 
相应 筛选 过 程 及 结果 应 有 记录 文档 。 

(2) 提供 服务 过 程 中 银行 信息 安全 管理 部 门 应 与 相应 科技 部 门 、 人 事 管理 部 门 、 
行政 管理 部 门 、 法 律 合 规 部 门 等 进行 沟通 ， 制 定 并 部 署 与 第 三 方 服务 人 员 相关 的 安全 管 
控 措施 。 相 应 的 安全 管控 措施 包括 但 不 限于 : 

1) 第 三 方 服务 人 员 相 关 的 保密 协议 签署 。 

2) 职场 物理 访问 控制 。 

3) 信息 资产 安全 使 用 。 

4) 信息 系统 的 授权 访问 管理 。 

5) 第 三 方 服务 人 员 安 全 培训 、 安 全 教育 。 

6) 第 三 方 服务 人 员 对 银行 安全 要 求 遵 从 情况 的 评价 。 

7) 第 三 方 服务 人 员 服 务 过 程 中 自 禹 办 公 软 件 的 合 规 管理 等 。 

(3) 完成 服务 ”在 第 三 方 服务 人 员 完 成 相应 的 服务 工作 后 ,信息 安全 管理 人 员 应 
重点 关注 其 系统 访问 权限 的 回收 、 所 使 用 银行 信息 资产 的 归还 、 工 作 交 接 过 程 等 环节 。 
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第 6 各 
信息 安全 管理 制度 


为 了 加 强 银行 信息 系统 安全 保护 工作 ， 保 隐 信 息 系统 安全 、 稳 定 地 运行 ， 银 行 需要 
制定 和 遵守 信息 安全 管理 制度 。 信 息 安全 制度 的 有 效 执行 是 银行 信息 安全 工作 的 重点 ， 


护 及 信息 安全 制度 集合 进行 描述 。 


6.1 文件 化 的 信息 安全 管理 


文件 化 管理 模式 是 当前 银行 信息 管理 体系 所 普遍 采用 的 。 文 件 化 管理 模式 主张 在 管 
理 某 项 工作 或 活动 时 ， 应 建立 和 实施 程序 ， 程 序 的 执行 需要 保留 可 追溯 的 记录 。 通 过 文 
件 落 实 责 任 、 加 强 相关 接口 协调 、 提 高 工作 的 系统 性 和 可 追溯 性 ， 避 免 推 遂 扯 记 ， 避 免 
依赖 经 验 、 习 惯 ， 避 免 无 章 可 依 。 

言 息 安全 管理 体系 要 求 组 织 通过 确定 信息 安全 管理 体系 范围 、 制 定 信息 安全 方针 、 
明确 管理 职责 、 以 风险 评估 为 基础 ， 选 择 控制 目标 与 控制 方式 等 活动 。 信 息 安全 管理 体 
系 一 旦 建立 ， 银 行 应 按 体系 规定 的 要 求 进行 运作 ， 保 持 体系 运作 的 有 效 性 。 同 时 ， 应 适 
当 形 成 文件 ， 即 组 织 应 建立 并 保持 一 个 文件 化 的 信息 安全 管理 体系 ， 来 阐述 被 保护 的 资 
产 、 组 织 风险 管理 的 方法 、 控 制 目标 及 控制 方式 和 需要 的 保证 程度 。 在 银行 进行 信息 安 
全 管理 的 过 程 中 ， 需 要 采用 文件 化 的 信息 安全 管理 模式 来 开展 相应 的 工作 。 


6.2 信息 安全 管理 制度 的 编写 


编写 信息 安全 管理 制度 是 组 织 建立 体系 化 的 信息 安全 管理 的 重要 基础 工作 ， 也 是 一 
个 组 织 实现 风险 控制 、 评 价 和 改进 信息 安全 管理 、 实 现 持 续 改 进 必 不 可 少 的 过 程 。 

在 正式 编写 信息 安全 制度 集合 之 前 ， 银 行 应 根据 信息 安全 管理 体系 标准 对 文件 化 的 
58 


信息 安全 管理 制度 | 第 6 章 | 


要 求 、 对 文件 化 程序 的 要 求 及 信息 安全 管理 活动 策划 的 结果 ， 列 出 信息 安全 管理 所 涉及 
的 文件 清单 ， 不 同 层次 的 信息 安全 管理 制度 之 间 应 保持 衔接 与 协调 一 致 。 

银行 业 在 编写 信息 安全 制度 时 ， 力 求 制度 能 清晰 描述 安全 控制 或 管理 的 责任 及 相关 
活动 ， 能 够 回答 5W1H 六 个 问题 ， 即 目的 与 范围 (Why) 、 做 什么 〈What) 、 谁 来 做 
(Who) 、 何 时 (When) 、 何 地 (Where) 及 如 何 做 (How)。 回 答 这 些 问题 一 般 不 涉及 
技术 性 细节 ， 并 力求 制度 符合 银行 业务 运作 与 安全 控制 的 实际 ， 具 有 可 操作 性 ， 避 免 脱 
离 实际 而 得 不 到 贯彻 执行 。 最 好 应 该 有 安全 制度 编写 小 组 或 专门 负责 人 人员， 协调 各 部 
门 / 团 队 的 文件 编写 进度 和 内 容 把 关 ， 确保 每 个 程序 之 间 有 必要 的 衔接 ， 避 免 出 现 相互 
矛盾 和 责任 真空 。 另 外 ,在 能 够 实现 安全 控制 的 前 提 下 ， 信 息 安 全 制度 的 数量 和 每 个 制 
度 的 篇 幅 越 少 越 好 。 

安全 制度 编写 后 可 能 需要 经 过 多 次 的 修改 与 完善 ; 在 正式 发 布 实施 之 前 ， 要 对 制度 
进行 审核 ， 确 保 符合 信息 安全 管理 相关 标准 与 银行 信息 安全 管理 的 实际 ; 制度 经 过 管理 
者 批准 后 予以 实施 。 在 安全 制度 实施 的 过 程 中 仍 可 对 安全 制度 进行 修订 ， 但 更 改 应 按照 
制度 控制 程序 所 规定 的 方法 进行 ， 另 外 银行 应 保证 员工 在 需要 时 可 以 获取 制度 。 


6.3 体系 化 的 信息 安全 制度 及 其 框架 模型 


银行 在 信息 安全 管理 过 程 中 涉及 大 量 的 管理 类 文档 和 技术 类 文档 ， 应 根据 安全 文档 
使 用 的 目的 和 发 布 范围 ， 建 立 文档 
层级 进行 归 类 管理 ， 以 便 查阅 和 
调用 ， 并 形成 一 套 有 效 的 制度 管 
理 框架 和 工具 。 在 此 基础 上 根据 
制度 层级 确定 每 个 制度 文档 编写 、 
审批 、 发 布 的 规则 ;确定 文档 密 
级 和 授权 策略 ， 规 范文 档 被 访问 
的 原则 。 典 型 的 制度 层级 框架 如 ; 
图 6-1 所 示 。 

1. 第 一 阶 (信息 安全 方针 ) 

谊 息 安全 方针 是 信息 安全 管理 
的 最 上 层 文件 ， 也 是 信息 安全 的 纲 | 
领 性 文件 ， 其 他 文件 如 管理 办 法 、 
流程 、 操 作 规范 技术 标准 等 ， 都 必须 遵从 这 些 纲领 性 文件 。 

2. 第 二 阶 (管理 办 法 ) 

管理 办 法 是 信息 安全 管理 制度 的 约束 性 文件 ， 是 对 信息 安全 某 一 方面 的 原则 性 的 
规定 。 


规定 规范、 流程 、 细 则 
四 
所 、 记 


第 
异 板 表单 、 记 录 文 件 


阶 
i 
| 
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3. 第 三 阶 〈 规 定 、 规 范 、 流 程 、 细 则 ) 

1) 安全 管理 规定 、 细 则 是 对 管理 办 法 的 细 化 规定 和 要 求 。 

2) 安全 规范 是 实现 管理 办 法 需要 遵守 的 准则 和 规定 ， 包 括 技术 规范 和 管理 规范 。 

3) 安全 流程 是 对 管理 办 法 的 过 程 描 述 ， 侧 重工 作 过 程 中 输入 、 输 出 、 活 动 、 职 责 
的 界定 。 

4. 第 四 阶 (模板 表单 、 记 录 文 件 ) 

此 阶 为 第 一 阶 至 第 三 阶 文档 制度 在 执行 过 程 中 用 到 的 相关 表单 和 记录 。 


6.4 信息 安全 制度 文件 的 控制 


1. 信息 安全 制度 文件 的 控制 总 体 要 求 

言 息 安全 制度 文件 (包括 记录 ) 是 银行 重要 的 信息 资产 ， 为 了 规范 对 该 类 信息 资 
产 的 保护 ， 应 建立 文件 化 的 程序 来 保证 以 下 控制 得 到 实施 : 

1) 文件 发 布 前 得 到 批准 ， 以 确保 文件 是 充分 的 。 

2) 必要 时 对 文件 进行 评审 、 更 新 并 再 次 批准 。 

3) 确保 文件 的 更 改 和 现行 修订 状态 得 到 识别 。 

4) 确保 在 使 用 中 可 获得 有 关 版 本 的 适用 文件 。 

5) 确保 文件 保持 清晰 、 易 于 识别 。 

6) 确保 外 来 文件 得 到 识别 。 

7) 确保 文件 的 分 发 得 到 适当 的 控制 。 

8) 防止 作废 文件 的 非 预期 使 用 。 无 论 出 于 何 种 目的 ， 如 果 需 要 保存 作废 的 文件 ， 
应 对 这 些 文件 进行 适当 的 标识 。 

2. 安全 制度 的 发 布 与 评审 

安全 制度 发 布 前 的 批准 和 更 新 后 的 再 批准 可 以 保证 文件 的 “合法 ”地 位 ， 而 且 管 
理 者 从 全 局 的 角度 来 审视 该 文件 ， 可 以 保证 其 充分 性 、 可 行 性 ; 安全 管理 层 对 文件 的 签 
署 还 可 以 提高 文件 的 重视 程度 ， 便 于 文件 的 推行 。 

安全 制度 文件 的 评审 可 以 保证 文件 的 持续 适宜 性 和 充分 性 。 通 常 在 下 列 时 机 应 该 进 
行文 件 评审 : 

1) 信息 安全 管理 体系 发 生 重大 变化 时 。 

2) 信息 安全 管理 体系 标准 发 生 重大 变化 时 。 

3) 银行 组 织 结构 发 生 重大 变化 时 。 

4) 信息 系统 发 生 较 大 变化 、 运 作 流 程 发 生 重大 变化 时 。 

5) 重大 安全 事件 发 生 后 或 者 特定 安全 事件 频繁 发 生 时 。 

在 信息 安全 制度 发 布 前 批准 和 更 新 后 的 再 批准 同样 需要 依据 制度 的 不 同类 别 明确 相 
应 的 管理 职责 ， 表 6-1 为 典型 的 针对 不 同 制度 类 别 进行 管理 职责 定义 的 示例 。 银 行 在 具 
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体 的 实践 过 程 中 ， 可 以 结合 自身 的 治理 模式 、 管 理 结 构 、 安 全 工作 开展 形态 对 管理 职责 
进行 定义 。 


表 6-1 不 同 制度 类 别 的 管理 职责 定义 示例 


安全 制度 类 别 / 层 级 | 制 ( 修 ) 订 /变更 /作废 审 核 批 准 发 布 范围 
一 阶 制度 信息 安全 管理 部 门 | 信息 安全 管理 经 理 | 信息 安全 管理 委员 会 全 行 范 
二 阶 制度 信息 安全 管理 部 门 | 信息 安全 管理 经 理 | 信息 安全 管理 委员 会 全 行 范 
三 阶 制度 相关 领域 负责 团队 专业 条 线 负 责 信息 安全 管理 经 理 全 行 范 
四 阶 制度 相关 领域 负责 团队 专业 条 线 负 责 人 信息 安全 管理 经 理 全 行 范 


3. 安全 制度 的 版 本 控制 

内 部 文件 版 本 的 控制 和 外 来 文件 的 控制 ， 可 以 保证 信息 安全 管理 文件 使 用 者 能 够 及 
时 获得 适当 版 本 的 文件 ， 避 免 由 于 使 用 过 期 文件 造成 工作 失误 。 对 于 纸 面 文件 ， 通 常 的 
做 法 是 在 发 放 新 文件 的 同时 ， 收 回 旧版 本 的 文件 ; 同一 版 本 内 文件 的 更 改 ， 可 以 通过 更 
改 记 录 表 清楚 标识 。 对 于 电子 文件 需要 根据 组 织 具体 的 发 布 渠道 和 方式 ， 采 用 适合 组 织 
实际 情况 的 方法 来 控制 ， 并 且 只 要 能 够 达到 相关 文件 的 控制 要 求 即 可 。 

4. 安全 制度 文件 的 密级 管理 及 授权 策略 

作为 银行 内 部 较为 敏感 的 一 类 信息 资产 类 别 ， 针 对 安全 制度 文件 应 采取 授权 访问 的 
方式 ， 通 过 明确 定义 文件 的 可 访问 级 别 ， 防 止 文件 不 必要 的 扩散 所 造成 的 安全 隐患 。 
通常 ， 信 息 安 全 制度 文件 的 密级 可 定义 为 公开 级 、 内 部 级 和 机 密级 。 公 开 级 文档 密 
级 最 低 ， 机 密级 文档 密级 最 高 。 

1) 公开 级 为 常规 性 文档 ， 所 有 人 都 有 查阅 的 权限 。 

2) 内 部 级 为 银行 安全 管理 团队 内 部 使 用 的 资料 ， 仅 对 银行 安全 管理 团队 内 部 员工 
提供 查阅 权限 ， 若 其 他 人 员 需 要 查阅 相关 文档 ， 可 以 申请 临时 授权 ， 经 批准 后 才能 
查阅 。 

3) 机 密级 文档 为 密级 最 高 的 文档 ， 仅 对 银行 管理 层 开 放 ， 对 于 非 授权 人 员 ， 可 经 
过 特殊 授权 获取 临时 查阅 权限 。 

4) 针对 文档 的 访问 授权 ， 可 以 采取 如 下 的 方式 : 

QD 临时 授权 : 若 需要 查阅 文档 的 人 员 不 在 文档 发 布 范围 之 内 ， 可 以 采用 申请 授权 
方式 获得 获取 临时 查阅 文档 的 权限 ， 如 申请 查阅 内 部 级 和 机 密级 文档 。 

Q 常规 授权 : 若 文档 事先 已 确定 其 发 布 对 象 ， 可 以 采用 常规 授权 的 方式 。 

5. 安全 制度 文件 的 标识 

针对 信息 安全 管理 文件 其 标识 编码 可 采用 六 段 可 变 位 数 进行 描述 ， 具 体内 容 见 表 6-2。 

表 6-2 信息 安全 制度 文件 标识 


XX Bank Lm XXYY XXXXXX Vn.n XXYY 


银行 名 称 简写 制度 层级 制度 制定 部 门 制度 中 文 名 称 版 本 号 发 布 年 月 


| 银行 信息 安全 技术 及 管理 体系 


1) 第 一 段 (XX Bank) 代表 银行 的 名 称 。 

2) 第 二 段 (Lm，2 位 字符 ) 代表 安全 制度 的 阶层 ，m 分 别 取 值 0、1、2 、3。 

3) 第 三 段 (XXYY， 可 变 字 符 数 ) 代表 制度 制定 的 部 门 。 

4) 第 四 段 (XXXXXX， 可 变 字符 数 ) 代表 流程 、 规 范 、 细 则 等 制度 文档 的 中 文 名 。 

5) 第 五 段 (Vn.n， 固 定 4 位 字符 ) 代表 版 本 号 ， 对 于 已 经 发 布 的 版 本 都 是 n. 0， 
中 间 版 本 的 文件 取 m 1 ~n. 9。 

6) 第 六 段 (XXYY， 固 定 4 位 数字 ) 代表 发 布 年 月 。 


6.5 信息 安全 制度 的 贯彻 实施 


言 息 安全 管理 制度 的 发 布 ， 仅 是 银行 信息 安全 管理 工作 开展 的 开端 。 此 时 ， 如 何 使 
这 些 制度 文件 贯彻 到 日 常 信息 安全 工作 中 去 ， 成 为 银行 信息 安全 管理 人 员 的 新 课题 。 因 
为 制定 安全 制定 文件 的 目的 不 是 为 了 束之高阁 ， 也 不 是 为 了 处 罚 员工 (尽管 处 罚 不 可 
避免 ， 但 那 也 是 为 了 保障 信息 安全 管理 运行 ) ， 而 是 为 了 使 信息 安全 管理 得 以 有 效 开 
展 ， 使 银行 的 信息 安全 风险 处 于 受 控 的 状态 ， 所 以 该 问题 的 关键 是 ， 如 何 把 信息 安全 制 
度 准确 地 传达 到 每 一 位 相关 人 员 的 日 常 工作 中 去 ， 这 需要 很 多 方法 配合 使 用 。 

例如 ， 前 面 提 到 信息 安全 管理 制度 要 经 过 管理 层 签署 后 发 布 ， 可 以 保证 信息 安全 管 
理 制 度 的 地 位 ， 引 起 足够 重视 ; 文件 版 本 控制 可 以 保证 员工 总 是 能 够 及 时 得 到 最 新 的 版 
本 ; 而 要 求 员 工 在 文件 生效 之 前 签署 一 个 文本 ， 声 明 收 到 该 版 本 的 文件 ， 并 已 经 详细 阅 
读 、 理 解 了 其 中 的 条 款 且 愿意 遵守 这 些 文件 ， 是 为 了 引起 员工 的 足够 重视 。 

安全 意识 的 培训 也 是 把 信息 安全 制度 传达 下 去 的 一 种 好 方法 。 培 训 可 以 形象 而 有 针 
对 性 地 让 相关 人 员 很 快 对 信息 安全 制度 形成 整体 的 认识 和 比较 深刻 的 印象 ， 这 是 公文 方 
式 往往 很 难 达 到 的 效果 。 而 且 培 训 也 是 信息 安全 制度 编写 者 和 使 用 者 的 一 次 沟通 ， 可 以 发 
现 安全 制度 文件 中 一 些 容易 产生 上 收 义 的 字句 ， 可 以 发 现 一 些 可 能 不 符合 实际 情况 的 问题 。 

言 息 安全 制度 检查 、 信 息 安 全 审计 工作 的 开展 是 信息 安全 制度 得 以 实施 的 保障 ， 要 
求 银行 必须 定期 对 信息 安全 管控 的 运行 情况 进行 检查 与 审计 ， 验 证 银行 内 的 信息 安全 管 
控 是 否 有 效 实施 ， 及 时 发 现 问题 及 时 解决 。 


6.6 信息 安全 管理 制度 集合 的 组 成 


6.6.1 体系 化 的 信息 安全 管理 制度 集合 


言 息 安 全 制度 的 结构 和 内 容 应 以 安全 管理 要 求 为 基础 ， 并 充分 考虑 国际 标准 ISO/ 
IEC 27001 及 国家 标准 等 级 保护 的 相关 要 求 ， 以 符合 业界 共识 。 同 时 ， 也 需要 充分 考虑 
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中 国人 民 银 行 及 银监会 等 监管 机 构 的 要 求 。 

依据 ISOAIEC 27001， 信 息 安 全 管理 体系 的 文件 至 少 应 包括 信息 安全 方针 和 安全 目 
标的 文件 化 声明 ; 信息 安全 管理 手册 ; 风险 评估 报告 ;风险 处 理 计划 ; 组 织 为 确保 其 信 
息 安 全 过 程 有 效 策 划 、 运 作 和 控制 所 需 的 文件 ，ISOZIEC 27001 所 要 求 的 记录 ; 实施 的 
控制 概要 ， 包 括 任何 删 减 理由 的 详细 描述 。 对 ISOZIEC 27001 信息 安全 管理 体系 的 贯彻 
实施 ， 可 以 作为 体系 化 银行 信息 安全 管理 制度 的 一 个 比较 好 的 开端 。 

ISOAIEC 27001 提示 不 同 组 织 的 信息 安全 管理 体系 文件 可 能 会 因为 组 织 的 规模 、 类 型 、 
复杂 度 和 安全 要 求 的 不 同 有 所 不 同 。 组 织 可 以 依据 标准 、 相 关 法 律 、 法 规 、 组 织 现 行 的 安 
全 控制 规章 制度 和 其 他 相关 管理 体系 文件 来 确定 自己 体系 文件 的 规模 和 组 织 方式 。 

1) 信息 安全 方针 : 是 信息 安全 目标 、 指 标的 框架 ， 为 信息 安全 活动 建立 方向 和 原 
则 。 方针 必须 强调 法 律 法 规 的 要 求 ， 为 信息 安全 管理 过 程 建 立 战略 性 的 、 全 组 织 的 风险 
管理 环境 。 信 息 安 全 方针 应 该 获得 最 高 管理 层 的 批准 ， 是 最 高 管理 层 对 信息 安全 的 总 目 
标 和 对 持续 改进 信息 安全 管理 绩效 的 承诺 。 

2) 信息 安全 管理 手册 : 是 组 织 信息 安全 管理 体系 的 纲领 性 文件 ， 是 对 组 织 信息 安 
全 管理 框架 的 综述 ， 阐 明 一 个 组 织 的 信息 安全 方针 并 描述 其 信息 安全 管理 体系 的 文件 。 
言 息 安全 管理 手册 对 组 织 全 体 员工 来 说 是 法 规 性 文件 ， 必 须 严格 遵照 执行 。 信 息 安全 管 
理 手册 应 包括 以 下 内 容 : 信息 安全 管理 体系 的 范围 ; 支持 信息 安全 管理 体系 的 过 程 ; 为 
言 息 安 全 管理 体系 编制 的 程序 文件 ， 或 对 其 引用 。 

3) 风险 评 佑 报告 : 是 风险 评估 的 结论 性 报告 ， 应 该 表述 组 织 信 息 资 产 所 面临 的 威 
胁 、 这 些 威 胁 能 够 利用 的 薄弱 点 及 由 此 而 产生 的 风险 的 大 小 优先 等 级 。 

4) 风险 处 理 计 划 : 是 组 织 针对 所 识别 的 每 一 项 不 可 接受 风险 建立 的 详细 处 理 方案 
和 实施 时 间 表 ， 是 组 织 安全 风险 和 控制 措施 的 接口 性 文档 。 为 了 管理 和 审核 的 方便 ， 这 
个 计划 通常 还 会 罗列 已 经 采取 的 控制 措施 。 

5) 组 织 为 确保 其 信息 安全 过 程 有 效 策划 、 运 作 和 控制 所 需 的 文件 : 这 部 分 文件 在 其 
他 管理 体系 中 一 般 叫 程序 文件 和 作业 指导 性 文件 ， 是 规定 如 何 完成 某 项 活动 的 方法 的 文件 。 
程序 文件 和 作业 指导 性 文件 在 内 容 的 范围 上 有 一 点 细微 的 区 别 ， 程 序 文件 通常 是 用 来 协调 多 
个 部 门 共同 完成 一 项 任务 ， 而 作业 指导 性 文件 通常 用 来 指导 个 别 岗 位 或 部 门 内 的 活动 。 

6) 记录 : 在 管理 体系 中 一 般 把 记录 作为 一 种 特殊 的 文件 来 看 待 ， 是 表述 达到 的 结 
果 或 者 提供 活动 完成 的 客观 证 据 ， 是 管理 体系 持续 改进 的 见证 人 。 记 录 应 该 体现 信息 安 
全 管理 体系 全 部 过 程 的 业绩 ， 以 及 发 生 的 与 信息 安全 管理 体系 相关 的 所 有 安全 事故 。 在 
不 违反 法 律 法 规 和 标准 的 要 求 前 提 下 ， 组 织 可 以 根据 自身 对 记录 的 需求 和 记录 缺乏 带 来 
的 风险 决定 记录 的 内 容 和 详 略 。 


6. 6.2 ”对 监管 要 求 的 整合 落 3 


将 


信息 安全 工作 ， 应 该 既 对 银行 本 身 具 有 价值 ， 又 能 够 满足 监管 要 求 ， 也 就 是 有 价 
值 、 又 合 规 。 因 此 在 信息 安全 制度 制定 的 过 程 中 ， 应 充分 地 整合 相应 的 监管 要 求 。 针 对 
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银行 业 ， 应 积极 地 分 析 并 在 制度 中 着 重 落实 银监会 的 监管 要 求 、 中 国人 民 银 行 信息 安全 
管理 相关 的 政策 指引 、 金 融 标准 委员 会 及 其 他 政府 机 构 与 信息 安全 相关 的 策略 与 标准 。 
另外 针对 部 分 上 市 银行 还 应 考虑 其 特定 的 合 规 性 的 要 求 ， 部 分 境外 上 市 银行 还 应 将 境外 
的 监管 要 求 融 入 其 信息 安全 管理 制度 中 。 


6. 6.3 某 商 业 银 行 信息 安全 制度 文件 目录 示例 


以 下 是 茶 商业 银行 信息 安全 制度 包含 的 文件 : 
言 息 科技 风险 管理 政策 

言 息 科 技 风险 管理 制度 

言 息 安全 管理 策略 

信息 系统 安全 管理 机 构 

信息 安全 岗位 设置 及 人 员 配 备 管理 规范 
电子 银行 业务 信息 安全 管理 指引 
数据 安全 管理 办 法 

应 用 系统 密 钥 管理 办 法 

运 维 中 心安 全 访问 管理 细则 

内 部 用 户 动态 令 牌 管理 细则 

移动 存储 介质 使 用 管理 规定 

网 络 安全 管理 规范 

互联 网 边界 人 侵 检测 管理 细则 

桌面 PC 使 用 管理 细则 

桌面 管理 系统 管理 细则 

恶意 代码 防范 管理 规范 

统一 身份 与 访问 管理 系统 使 用 管理 细则 
身份 与 访问 管理 系统 应 用 接 入 管理 规范 


言 息 安 全 检查 规范 
应 用 系统 数字 证 书 管理 规范 
数据 调用 管理 规范 


加 密 接 口 使 用 管理 规范 
应 用 系统 密 钥 管理 实施 细则 
生产 系统 业务 数据 修改 实施 细则 
办 公 电 子 文件 防 泄密 系统 管理 细则 
信息 安全 产品 和 安全 服务 采购 规范 
安全 监控 管理 规范 
系统 测试 与 验收 管理 规范 
分 行 信息 安全 管理 规范 
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第 7 草 
信息 安全 风险 管理 


信息 安全 风险 管理 是 信息 安全 运作 的 核心 组 成 部 分 。 从 本 质 上 看 ， 信 息 安 全 运作 是 
通过 日 复 一 日 的 信息 安全 活动 ， 发 现 、 缓 解 、 监 控 和 报告 风险 ， 并 对 信息 安全 风险 进行 
控制 。 另 一 方面 ， 信 息 安 全 风险 管理 本 身 作为 一 种 日 常 的 信息 安全 活动 是 信息 安全 运作 
的 一 种 形式 。 

本 章 基 于 国际 国内 不 同 标准 、 规 范 对 信息 安全 风险 管理 的 不 同 阐述 ， 对 银行 业 信息 
安全 风险 管理 进行 了 分 析 。 在 此 基础 上 ， 本 章 较 为 系统 地 分 析 了 信息 安全 风险 管理 的 含 
义 、 银 行业 信息 安全 风险 管理 的 流程 、 信 息 安全 风险 评估 、 信 息 安全 风险 处 置 及 信息 安 
全 风险 评 佑 实践 等 内 容 。 


7.1 信息 安全 风险 管理 的 不 同 含义 


[Ee 


常 ， 风 险 是 指 发 生 损失 的 不 确定 性 或 损失 出 现 的 概率 ; 也 可 以 指 某 些 特定 损失 发 
生 的 可 能 性 。 在 某 些 情境 下 ， 风 险 其 至 可 以 解读 为 事件 可 测定 的 不 确定 性 ， 包 括 不 确定 
性 的 收益 或 损失 。 在 不 同 的 语 境 中 ， 风 险 往 往 拥 有 不 同 的 含义 。 


7.1.1 国际 通用 标准 对 风险 的 定义 


2007 年 4 月 22 日 ~27 日 ,国际 标准 化 组 织 技术 管理 局 风险 管理 工作 组 〈ISO/ 
TMB/ZWG Risk Management) 在 加 拿 大 涯 太 华 召开 了 第 四 次 工作 组 会 议 。 正 式 将 风险 定 
义 为 不 确定 性 对 目标 的 影响 。 


7.1.2 《巴塞 尔 协议 》 对 风险 的 划分 


巴塞 尔 银 行 监管 委员 会 (Basel Committee on Banking Supervision ，BASFL) 简称 巴 
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塞 尔 委员 会 ， 是 巾 美国、 英国、 法国、 德国、 意大利、 日本、 荷兰、 加拿大 、 比 利 时 、 
瑞典 十 大 工业 国 的 中 央 银 行 于 1974 年 底 共 同 成 立 的 ， 作 为 国际 清算 银行 的 一 个 正式 机 
构 ， 以 各 国 中 央 银 行 官员 和 银行 监管 当局 为 代表 ， 总 部 在 瑞士 的 巴塞 尔 。 每 年 定期 集会 
4 次 ， 并 拥有 近 30 个 技术 机 构 ， 执 行 每 年 集会 所 订 目 标 或 计划 。 

自 成 立 以 来 ,巴塞 尔 委员 会 制定 了 一 系列 重要 的 银行 监管 规定 ， 如 1983 年 的 银行 
国外 机 构 的 监管 原则 ， 又 称 巴 塞 尔 协定 (Basel Concordat) 和 1988 年 的 巴塞 尔 资本 协议 
(Basel Accord) 。 这 些 规 定 不 具有 法 律 约束 力 ， 但 十 国 集 团 监 管 部 门 一 致 同 意 在 规定 时 
间 内 在 十 国 集团 实施 。 经 过 一 段 时 间 的 检验 ， 鉴 于 其 合理 性 、 科 学 性 和 可 操作 性 ， 许 多 
非 十 国 集团 监管 部 门 也 自愿 地 遵守 了 巴塞 尔 协定 和 资本 协议 ， 特 别 是 那些 国际 金融 参与 
度 高 的 国家 。1997 年 ， 有 效 银行 监管 的 核心 原则 的 问世 是 巴塞 尔 委员 会 历史 上 又 一 项 
重大 事件 。 核 心 原则 是 由 巴塞 尔 委员 会 与 一 些 非 十 国 集团 国家 联合 起 草 的 ， 得 到 世界 各 
国 监管 机 构 的 普遍 赞同 ， 并 已 构成 国际 社会 普遍 认可 的 银行 监管 国际 标准 。 至 此 ， 虽 然 
巴塞 尔 委员 会 不 是 严格 意义 上 的 银行 监管 国际 组 织 ， 但 事实 上 已 成 为 银行 监管 国际 标准 
的 制定 者 。 

2002 年 10 月 1 日 ,巴塞 尔 委员 会 发 布 了 修改 的 资本 协议 建议 的 最 新 版 ， 同 时 开始 
新 一 轮 调查 〈 第 三 次 定量 影响 测算 ，QIS3 ) ， 评 佑 该 建议 对 全 世界 银行 最 低 资 本 要 求 的 
可 能 影响 。 从 1975 年 9 月 第 一 个 《巴塞 尔 协议 》 到 1999 年 6 月 《新 巴塞 尔 资本 协议 》 
(或 称 “ 新 巴塞 尔 协议 ”) 第 一 个 征求 意见 稿 的 出 台 ， 再 到 2006 年 新 协议 的 正式 实施 ， 
时 间 跨 度 长 达 30 年 。 几 十 年 来 《巴塞 尔 协议 》 的 内 容 不 断 丰富 ， 所 体现 的 监管 思想 也 
不 断 深 化 。 

最 新 通过 的 《巴塞 尔 协议 亚 》 受 到 了 2008 年 全 球 金 融 危 机 的 直接 俊生， 该 协议 的 
草案 于 2010 年 提出 ， 在 短 短 一 年 时 间 内 就 获得 了 最 终 通 过 ， 并 于 当年 11 月 在 韩国 首尔 
举行 的 G20 峰会 上 获得 正式 批准 实施 。《 巴 塞 尔 协议 亚 》 是 国际 清算 银行 (BIS) 的 巴 
塞 尔 银行 业 条 例 和 监督 委员 会 的 常设 委员 会 一 一 巴塞 尔 委员 会 于 1988 年 7 月 在 瑞士 的 
巴塞 尔 通过 的 “关于 统一 国际 银行 的 资本 计算 和 资本 标准 的 协议 ”的 简称 。 该 协议 第 
一 次 建立 了 一 套 完整 的 国际 通用 的 、 以 加 权 方 式 衡 量 表 内 与 表 外 风险 的 资本 充足 率 
标准 ， 有 效 地 扼 制 了 与 债务 危机 有 关 的 国际 风险 。《 巴 塞 尔 协议 亚 》 几 经 波折 ， 最 终 
于 2013 年 1 月 6 日 发 布 其 最 新 规定 。 新 规定 放宽 了 对 高 流动 性 资产 的 定义 和 实施 
时 间 。 

《巴塞 尔 协议 亚 》 是 全 球 银行 业 监管 的 标杆 ， 其 出 台 必 将 引发 国际 金融 监管 准则 的 
调整 和 重组 ， 影 响 银行 的 经 营 模式 和 发 展 战略 。 在 《巴塞 尔 协议 亚 》 出 台 之 际 ， 中 国 
银监会 及 时 推出 了 四 大 监管 工具 ， 即 资本 要 求 、 杠 杆 率 、 拨 备 率 和 流动 性 要 求 ， 及 时 进 
行 了 跟 进 ， 构 成 了 未 来 一 段 时 期 中 国 银行 业 监 管 的 新 框架 。 这 被 业界 称 为 中 国 版 “ 巴 
塞 尔 亚 ”。 

《巴塞 尔 协议 》 将 银行 面临 的 风险 分 为 信用 风险 、 市 场 风险 、 操 作风 险 、 流 动 性 风 
险 、 国 家 风险 、 信 誉 风险 、 法 律 风 险 及 战略 风险 八大 类 。 

无 论 是 巴塞 尔 委员 会 ， 还 是 《巴塞 尔 协议 》， 都 没有 对 信息 安全 风险 及 信息 安全 风 
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险 管 理 进 行 定 义 和 详 细 氢 述 。 银 行业 通常 认为 ， 站 在 《巴塞 尔 协议 》 角 度 来 看 ， 商 业 
银行 信息 安全 风险 主要 表现 为 操作 风险 ,但 也 会 连带 导致 商业 银行 法 律 、 信 誉 风险 和 战 
略 风 险 。 


7.1.3 国际 标准 ISO/IEC 27005 对 信息 安全 风险 的 描述 


国际 标准 ISOZIEC 27005 2008 对 信息 安全 风险 的 定义 是 : 某 种 特定 的 威胁 利用 资 
产 或 一 组 资产 的 脆弱 点 ， 导 致 这 些 资产 存在 受 损 或 破坏 的 潜在 可 能 ， 通 常用 事态 的 可 能 
性 及 其 后 果 的 组 合 来 测量 。 

ISOZEEC 27005 认为 ， 信 息 安 全 风险 管理 过 程 可 能 循环 进行 风险 评估 和 /或 风险 处 
置 活动 。 风 险 评估 的 循环 方法 能 够 使 得 每 一 次 循环 更 加 深入 和 具体 ， 循 环 方法 可 以 在 确 
保 高 风险 被 准确 识别 和 识别 控制 措施 上 花费 最 小 的 时 间 与 精力 之 间 寻 找平 衡 。 首 先 确定 
范畴 ， 然 后 进行 风险 评估 。 如 果 风 险 评估 为 进行 有 效 决 策 的 提供 了 充分 的 信息 ， 以 确定 
将 风险 降低 到 可 接受 级 别 所 需 活 动 ， 则 风险 评估 任务 结束 ， 可 开始 进行 风险 处 置 。 如 果 
言 息 不 够 充分 ， 则 进行 另外 一 个 修订 范畴 和 风险 评估 的 循环 ， 也 可 能 是 整个 范围 内 的 部 
分 内 容 进 行 循环 。 

有 效 的 风险 处 置 依赖 于 风险 评估 的 结果 。 风 险 处 置 可 能 不 会 立即 将 残余 风险 降低 到 
可 以 接受 的 级 别 。 对 于 这 种 情形 ， 可 能 需要 变更 风险 范畴 参数 (如 风险 评 佑 、 风 险 接 
受 或 影响 的 准则 ) 以 再 次 进行 风险 评 佑 循环， 并 可 能 需要 进一步 的 风险 处 置 。 风 险 接 
受 活 动 需要 确保 残余 风险 被 组 织 的 管理 者 明确 接受 。 对 于 控制 措施 被 取消 或 推迟 实施 
(如 成 本 问题 ) 的 情形 ， 管 理 层 的 明确 接受 就 更 为 重要 。 在 整个 信息 安全 风险 管理 过 程 
中 ， 向 相应 的 管理 者 和 员工 传达 风险 及 风险 的 处 置 是 很 重要 的 。 甚 至 在 风险 处 置 前 ， 有 
关 已 识别 的 风险 信息 对 于 管理 事件 可 能 是 很 有 价值 的 ， 并 可 以 帮助 降低 潜在 损失 。 管 理 
者 和 员工 的 风险 意识 、 降 低 风 险 的 现 有 控制 措施 的 特性 及 组 织 所 关心 的 区 域 ， 将 为 处 理 
事件 和 非 预 期 事态 提供 有 效 的 帮助 。 信 息 安 全 风险 管理 过 程 的 每 一 活动 及 两 个 风险 决策 
点 的 详细 结果 应 该 形成 文件 。 


7.1.4 国家 标准 GB/Z 24364 及 GB/T 20984 对 信息 安全 风险 
的 定义 和 说 明 


国家 标准 GB/Z 24364 一 2009《 信 息 安 全 技术 信息 安全 风险 管理 指南 》 与 ISOZIEC 
27005 的 基本 思路 保持 了 一 致 ， 其 将 风险 定义 为 : 由 于 系统 存在 的 脆弱 性 ， 人 为 或 自然 
的 威胁 导致 安全 事件 发 生 的 可 能 性 及 其 造成 的 影响 。 风 险 由 安全 事件 发 生 的 可 能 性 及 其 
造成 的 影响 这 两 种 指标 来 衡量 。 

GB/T 29084 对 信息 安全 风险 的 定义 为 : 人 为 或 自然 的 威胁 利用 信息 系统 及 其 管理 
体系 中 存在 的 脆弱 性 导致 安全 事件 的 发 生 及 其 对 组 织造 成 的 影响 。 同 时 ，GB/T 29084 
对 信息 安全 风险 评估 进行 了 定义 ， 即 依据 有 关 信 息 安全 技术 与 管理 标准 ， 对 信息 系统 及 
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由 其 处 理 、 传 输 和 存储 信息 的 保密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 评价 的 过 程 。 它 
要 评估 资产 面临 的 威胁 及 威胁 利用 脆弱 性 导致 安全 事件 的 可 能 性 ， 并 结合 安全 事件 所 涉 
及 的 资产 价值 来 判断 安全 事件 一 旦 发 生 对 组 织造 成 的 影响 。 

从 上 述 分 析 可 以 看 出 ,不 同 的 标准 对 信息 安全 及 信息 安全 风险 管理 的 定义 不 尽 相 
同 ， 但 不 同 标准 的 整体 思路 和 核心 内 涵 是 一 致 的 。 银 行 在 进行 信息 安全 管理 时 ， 应 该 综 
合 考虑 、 参 考 和 借鉴 上 述 标准 规范 的 思路 。 而 国际 标准 ISOAIEC 27005 及 国家 标准 GB/ 
Z 2364 、GB/T 20984 是 站 在 信息 技术 的 角度 看 待 信息 安全 ， 其 描述 也 更 为 详细 ， 可 以 
作为 银行 业 信息 安全 风险 管理 主要 参考 的 标准 。 


7.2 银行 信息 安全 风险 管理 过 程 


7.2.1 基于 ISO/IEC 31000 的 风险 管理 过 程 


ISOZEEC 31000 从 一 个 组 织 通用 的 风险 管理 角度 出 发 ， 前 述 了 一 个 组 织 风 险 管理 的 
原则 和 指导 方针 ， 并 给 出 了 风险 管理 原则 、 框 架 和 过 程 的 关系 图 ， 并 对 其 中 风险 管理 过 
程 进行 了 详细 描述 ， 如 图 7-1 所 示 。 


环境 状况 


| 


险 识别 


监 
这 
与 
审 
查 


沟 
通 
号 
协 
商 


el 
eil 


= 


图 7-1 1ISO/AIEC 31000 风险 管理 i 


各 
Ea 


7.2.2 基于 操作 风险 的 风险 管理 过 程 


从 操作 风险 管理 的 角度 ， 银 行 往 往 将 风险 管理 划分 为 风险 识别 、 风 险 评估 、 风 险 控 
制 / 缓 释 、 风 险 监 测 /报告 等 过 程 。 
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7.2.3 ”基于 ISO/IEC 27005 的 风险 管理 过 程 


ISOZIEC 27005 指出 ， 信 息 安全 风险 管理 过 程 由 确定 范畴 、 风 险 评估 、 风 险 处 置 、 
风险 接受 、 风 险 沟通 及 风险 监视 和 评审 组 成 (图 7-2)。 


风 队 决策 点 2 < > MO 


1 YES 


风险 接受 


图 7-2 ”基于 ISOZIEC 27005 的 风险 管理 过 程 


ISOZIEC 27005 中 最 为 关键 的 3 个 部 分 是 风险 评估 、 风 险 处 置 及 基于 风险 的 决策 。 
风险 评估 过 程 将 全 面 评估 信息 系统 的 资产 、 威 胁 、 脆 弱 性 及 现 有 的 安全 措施 ,分 析 安 全 
事件 发 生 的 可 能 性 及 可 能 的 损失 ， 从 而 确定 信息 系统 的 风险 ， 并 判断 风险 的 优先 级 ， 建 
议 处 理 风 险 的 措施 。 风 险 处 理 过 程 基于 风险 评估 的 结果 ， 考 察 信息 安全 措施 的 成 本 ， 选 
择 合适 的 方法 处 理 风险 ， 将 风险 控制 到 可 接受 的 程度 。 基 于 风险 的 决策 是 风险 管理 的 决 
策 过 程 ， 旨 在 由 信息 系统 的 主管 者 或 运营 者 判断 残余 风险 是 否 处 在 可 接受 的 水 平 之 内 。 
基于 这 一 判断 ， 主 管 者 或 运营 者 将 做 出 决策 ， 决 定 是 否 允 许 信息 系统 运行 。 


7.2.4 银行 信息 安全 风险 管理 的 关注 重点 


综 上 所 述 ， 无 论 基 于 哪 种 标准 ， 风 险 管理 的 核心 理念 都 是 相通 的 ， 即 通过 基本 的 风 
险 管 理 过 程 对 风险 进行 管理 。 银 行 风 险 管 理工 作 本 身 也 是 一 种 体系 化 的 工作 ， 即 银行 风 
险 管理 体系 。 信 息 安 全 管理 体系 和 风险 管理 体系 之 间 既 有 交叉 融合 ， 又 有 区 别 和 不 同 。 
站 在 信息 安全 管理 体系 的 角度 ， 重 点 关注 信息 安全 风险 评 佑 与 信息 安全 风险 处 置 ， 因 为 
它们 是 信息 安全 管理 体系 的 基础 ， 如 图 7-3 所 示 。 
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操作 风险 管理 流程 确定 环境 状况 


> 识别 


> 评估 
> 控制 / 缓 释 
> 监测 /报告 


关键 流程 


| 


| 出 吾 十 一 

| 风险 识别 | 风险 识别 

We ed 型 三 

LE 风险 分 析 | ; 

] 风险 评价 

[LE 
风险 处 置 


开演 灿 池 普 
| 
由 起 煌 入 慰 


ET 


信息 安全 运作 


注 :@ 来 自 于 银行 操作 风险 管理 流程 ; @ 来 自 于 ISO 31000 一 2009G) 来 自 于 ISO 27005 一 2008 


图 7-3 银行 信息 安全 风险 管理 关注 重点 


7.3 银行 信息 安全 风险 评估 


7.3.1 


风险 评估 基本 概念 


基于 ISOZIEC 27005 对 信息 安全 风险 的 定义 ， 有 几 个 概念 需要 明确 ， 见 表 7-1。 


表 7-1 ISO/IEC 27005 中 与 信息 安全 风险 相关 的 术语 及 定义 


任何 对 组 织 具 有 价值 的 东西 ,包括 计算 机 硬件 .通信 设施 .建筑 物 ,数据库 .文档 信息 软件 、 信 
加 息 服 务 和 人 员 等 ,所 有 这 些 资产 都 需要 妥善 保护 
a 经 济 实体 所 拥有 的 固定 资产 .无 形 资产 能 够 给 企业 带 来 的 潜在 经 济 收入 .效率 提升 ,或 失去 这 
a 些 固定 资产 ,无形 资产 可 能 给 企业 带 来 的 损失 
威胁 可 能 对 资产 或 组 织造 成 损害 的 某 种 安全 事件 发 生 的 潜在 原因 
ge 也 被 称 作 漏洞 或 脆弱 性 , 即 资产 或 资产 组 中 存在 的 可 被 威胁 利用 的 缺点 ,弱点 一 旦 被 利用 ,就 
> 可 能 对 资产 造成 损害 
风险 特定 威胁 利用 资产 弱点 给 资产 或 资产 组 带 来 损害 的 潜在 可 能 性 


风险 评估 


风险 分 析 和 风险 评价 的 整个 过 程 ,包括 系统 地 使 用 信息 来 识别 风险 来 源 和 估计 风险 ,以 及 将 估 


计 的 风险 与 给 定 的 风险 准则 加 以 比较 ,以 确定 风险 严重 性 的 过 程 
风险 处 置 。 ”选择 并 且 执行 措施 来 更 改 风险 的 过 程 
残余 风险 | ”经 过 风险 处 置 后 遗留 的 风险 
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在 银行 的 实际 业务 经 营 过 程 中 ， 上 述 风险 管理 各 要 素 的 相互 作用 方式 如 图 7-4 
所 示 。 


图 7-4 ”信息 安全 风险 管理 要 素 的 相互 作用 


1) 业务 战略 的 实现 对 资产 具有 依赖 性 ， 依 赖 程度 越 高 ， 要 求 其 风险 越 小 。 

2) 资产 是 有 价值 的 ， 组 织 的 业务 战略 对 资产 的 依赖 程度 越 高 ， 资 产 价值 就 越 大 。 

3) 风险 是 由 威胁 引发 的 ， 资 产 面 临 的 威胁 越 多 则 风险 越 大 ， 并 可 能 演变 成 为 安全 
事件 。 

4) 资产 的 脆弱 性 可 能 暴露 资产 的 价值 ， 资 产 具 有 的 脆弱 性 越 多 则 风险 越 大 。 

5) 脆弱 性 是 未 被 满足 的 安全 需求 ， 威 胁 利 用 脆弱 性 危害 资产 。 

6) 风险 的 存在 及 对 风险 的 认识 导出 安全 需求 。 

7) 安全 需求 可 通过 安全 措施 得 以 满足 ， 需 要 结合 资产 价值 考虑 实施 成 本 。 

8) 安全 措施 可 抵御 威胁 ， 降 低 风 险 。 

9) 残余 风险 有 些 是 因 安 全 措施 不 当 或 无 效 ， 需 要 加 强 才 可 控制 的 风险 ;而 有 些 则 
是 在 综合 考虑 了 安全 成 本 与 效益 后 不 去 控制 的 风险 。 

10) 残余 风险 应 受到 密切 监视 ， 它 可 能 会 在 将 来 诱发 新 的 安全 事件 。 


7.3.2 风险 评估 过 程 


银行 业 一 般 采用 图 7-5 所 示 的 风险 评估 的 实施 流程 。 

1. 风险 评估 的 准备 

风险 评估 的 准备 是 整个 风险 评估 过 程 有 效 性 的 保证 。 银 行 实施 风险 评估 是 一 种 战略 
性 的 考虑 ， 其 结果 将 受到 组 织 业 务 战略 、 业 务 流程 、 安 全 需求 、 系 统 规模 和 结构 等 方面 
的 影响 。 

2. 资产 识别 

资产 是 具有 价值 的 信息 或 资源 ， 是 安全 策略 保护 的 对 象 。 它 能 够 以 多 种 形式 存在 ， 
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风险 评估 准备 


资产 识别 威胁 识别 脆弱 性 识别 


WSI 2 -~ 评估 结果 文档 | 
是 


图 7-5 ”风险 评估 实施 流程 图 


有 无 形 的 、 有 形 的 ， 有 和 硬件、 软件 ， 有 文档 、 代 码 ， 也 有 服务 、 形 象 等 。 机 密 性 、 完 整 
性 和 可 用 性 是 评价 资产 的 3 个 安全 属性 。 信 息 安全 风险 评估 中 资产 的 价值 不 仅仅 是 以 资 
产 的 账面 价格 来 衡量 ， 还 由 资产 在 这 3 个 安全 属性 上 的 达成 程度 或 者 其 安全 属性 未 达成 
时 所 造成 的 影响 程度 来 决定 的 。 安 全 属性 达成 程度 的 不 同 将 使 资产 具有 不 同 的 价值 ， 而 
资产 面临 的 威胁 、 存 在 的 脆弱 性 ， 以 及 已 采取 的 安全 措施 都 将 对 资产 安全 属性 的 达成 程 
度 产 生 影 响 。 

3. 威胁 识别 

威胁 是 一 种 对 银行 及 其 资产 构成 潜在 破坏 的 可 能 性 因素 ， 是 客观 存在 的 。 造 成 威胁 
的 因素 可 分 为 人 为 因素 和 环境 因素 。 根 据 威胁 的 动机 ， 人 为 因素 又 可 分 为 恶意 和 无 意 两 
种 。 环 境 因 素 包 括 自 然 界 中 不 可 抗 的 因素 和 其 他 物理 因素 。 威 胁 作用 形式 可 以 是 对 信息 
系统 直接 或 间接 的 攻击 ， 如 非 授权 的 泄露 、 算 改 、 删 除 等 ， 在 机 密 性 、 完 整 性 或 可 用 性 
等 方面 造成 损害 ， 也 可 能 是 偶发 的 或 蓄意 的 事件 。 

4. 脆弱 性 识别 

脆弱 性 是 对 一 个 或 多 个 资产 弱点 的 总 称 。 脆 弱 性 识别 也 称 为 弱点 识别 ， 弱 点 是 资产 
本 身 存在 的 ， 如 果 没 有 相应 的 威胁 发 生 ， 单 纯 的 弱点 本 身 不 会 对 资产 造成 损害 。 而 且 如 
果 系 统 足 够 强健 ， 再 严重 的 威胁 也 不 会 导致 安全 事件 ， 并 造成 损失 。 即 威胁 总 是 要 利用 
资产 的 弱点 才 可 能 造成 危害 。 
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资产 的 脆弱 性 具有 隐藏 性， 有 些 弱 点 只 有 在 一 定 条 件 和 环境 下 才能 显现 ， 这 是 脆弱 
性 识别 中 最 为 困难 的 部 分 。 需 要 注意 的 是 ， 不 正确 的 、 起 不 到 应 有 作用 的 或 没有 正确 实 
施 的 安全 措施 本 身 就 可 能 是 一 个 弱点 。 

脆弱 性 识别 将 针对 每 一 项 需要 保护 的 资产 ， 找 出 可 能 被 威胁 利用 的 弱点 ， 并 对 脆弱 
性 的 严重 程度 进行 评估 。 脆 弱 性 识别 时 的 数据 应 来 自 于 资产 的 所 有 者 、 使 用 者 ， 以 及 相 
关 业 务 领域 的 专家 和 软 硬 件 方面 的 专业 等 人 员 。 

脆弱 性 识别 所 采用 的 方法 主要 有 问卷 调查 、 工 具 检 测 、 人 工 核 查 、 文 档 查 阅 、 渗 透 
性 测试 等 。 

5. 已 有 安全 措施 的 确认 

银行 应 对 已 采取 的 安全 措施 的 有 效 性 进行 确认 ， 对 有 效 的 安全 措施 继续 保持 ， 以 避 
免 不 必 要 的 工作 和 费用 ， 防 止 安全 措施 的 重复 实施 。 对 于 确认 为 不 适当 的 安全 措施 ， 应 
核实 是 否 应 被 取消 ， 或 者 用 更 合适 的 安全 措施 替代 。 

安全 措施 可 以 分 为 预防 性 安全 措施 和 保护 性 安全 措施 两 种 。 预 防 性 安全 措施 可 以 降 
低 威胁 利用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 ， 如 入 侵 检测 系统 ; 保护 性 安全 措施 可 以 
减少 因 安 全 事件 发 生 对 信息 系统 造成 的 影响 ， 如 业务 持续 性 计划 。 

已 有 安全 措施 的 确认 与 脆弱 性 识别 存在 一 定 的 联系 。 一 般 来 说 ， 安 全 措施 的 使 用 将 
减少 脆弱 性 ， 但 安全 措施 的 确认 并 不 需要 与 脆弱 性 识别 过 程 那样 具体 到 每 个 资产 、 组 件 
的 弱点 ， 而 是 一 类 具体 措施 的 集合 。 比 较 明 显 的 例子 是 防火 墙 的 访问 控制 策略 ， 不 需要 
描述 具体 的 端口 控制 策略 、 用 户 控 制 策略 ， 只 需要 表明 采用 的 访问 控制 措施 。 

6. 风险 分 析 

(1) 计算 安全 事件 发 生 的 可 能 性 ”根据 威胁 出 现 频率 及 脆弱 性 状况 ， 计 算 威 胁 利 
用 脆弱 性 导致 安全 事件 发 生 的 可 能 性 ， 即 . 

安全 事件 发 生 的 可 能 性 =L( 威 胁 出 现 频 率 , 及 弱 性 ) =L(T,V) 

在 具体 评估 中 ， 应 综合 攻击 者 技术 能 力 (专业 技术 程度 、 攻 击 设备 等 )、 脆 弱 性 被 
利用 的 难 易 程 度 ( 可 访问 时 间 、 设 计 和 操作 知识 公开 程度 等 ) 及 资产 吸引 力 等 因素 来 
判断 安全 事件 发 生 的 可 能 性 。 

(2) 计算 安全 事件 发 生 后 的 损失 ”根据 资产 重要 程度 及 脆弱 性 严重 程度 ， 计 算 安 
全 事件 一 旦 发 生 后 的 损失 ， 即 . 

安全 事件 的 影响 = 下 (资产 重要 程度 ,脆弱 性 严重 程度 ) = F(Ta,Va) 

部 分 安全 事件 的 发 生 所 造成 的 影响 不 仅仅 是 针对 该 资产 本 身 ， 还 可 能 影响 业务 的 连 
续 性 。 不 同安 全 事件 的 发 生 对 银行 造成 的 影响 也 是 不 一 样 的 ， 在 计算 某 个 安全 事件 的 损 
失 时 ， 应 将 对 银行 的 影响 也 考虑 在 内 。 

(3) 计算 风险 值 ”根据 计算 出 的 安全 事件 发 生 的 可 能 性 及 安全 事件 的 损失 ， 计 算 
风险 值 ， 即 . 

风险 值 =R( 安 全 事件 发 生 的 可 能 性 ,安全 事件 的 损失 ) = R[L(T,V),F(Ia,Va)] 

评估 者 可 根据 自身 情况 选择 相应 的 风险 计算 方法 计算 风险 值 ， 如 和 矩阵 法 或 相 乘 法 。 
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通过 构造 经 验 函 数 ， 算 阵 法 可 形成 安全 事件 发 生 的 可 能 性 与 安全 事件 的 损失 之 间 的 二 维 
关系 ; 运用 相 乘 法 可 以 将 安全 事件 发 生 的 可 能 性 与 安全 事件 的 损失 相 乘 得 到 风险 值 。 
7. 风险 评估 文件 记录 
对 于 风险 评估 过 程 中 形成 的 相关 文件 ， 还 应 规定 其 标识 、 储 存 、 保 护 、 检 索 、 保 存 
期 限 及 处 置 所 需 的 控制 。 相 关 文件 是 否 需要 及 详 略 程度 由 管理 过 程 来 决定 。 


7.3.3 风险 评估 结果 报告 


风险 评估 的 结果 报告 对 后 续 的 风险 处 置 工作 意义 重大 。 风 险 评估 中 必须 确定 信息 系 
统 的 安全 风险 状况 (包括 风险 级 别 、 风 险 点 等 )， 但 这 不 能 作为 风险 评估 的 全 部 结论 。 

除 风险 状况 外 ， 在 风险 评估 工作 的 结果 报告 中 还 应 包括 以 下 的 报告 . 

1) 信息 系统 体系 特征 报告 。 

2) 威胁 评估 报告 。 

3) 脆弱 性 评估 报告 。 

4) 安全 措施 分 析 报 告 。 

上 述 报告 分 别 在 风险 评 佑 的 各 项 步 又 中 生成 ， 并 与 风险 状况 报告 合并 作为 最 终 的 风 
险 评 佑 结果 报告 。 甚 中， 威胁 评估 报告 应 与 脆弱 性 评 佑 报告 相对 应 ， 指 出 威胁 可 能 会 利 
用 的 脆弱 性 〈 即 威胁 /脆弱 性 对 ) 。 基 于 该 报告 ， 评 估 者 应 对 安全 措施 做 出 建议 。 


7.3.4 管理 风险 评估 中 引入 的 新 风险 


与 信息 系统 脆弱 性 有 关 的 信息 、 信 息 安 全 保障 的 现状 和 问题 等 是 涉及 银行 要 害 、 利 
益 、 声 誉 的 重大 事项 ， 因 此 风险 评 佑 是 敏感 的 工作 。 如 果 处 理 不 当 ， 风 险 评 估 会 帝 来 新 
的 风险 ， 从 而 使 信息 系统 的 风险 有 可 能 比 不 评估 还 要 大 。 

此 外 ， 风 险 评 佑 有 可 能 影响 到 信息 系统 应 用 的 正常 进行 ， 发 生意 外 损失 ， 甚 至 直接 
造成 安全 事件 。 

为 此 ， 在 风险 评估 时 ， 应 续 密 设计 评估 方案 ,考察 风险 评 佑 过程 中 可 能 引入 的 新 风 
险 。 尤 其 在 进行 委托 评 佑 时 ， 应 选择 有 资质 和 有 能 力 的 风险 评估 机构， 评估 前 应 签署 慎 
重 的 评 佑 合同， 评估 过 程 中 注意 对 人 员 的 监督 和 评 佑 数据 的 保护 ， 评 佑 结束 后 应 妥善 处 
理 评估 现场 ， 禁 止 评 佑 数据 随意 带 出 。 


7.4 风险 评估 的 关键 内 容 说 明 


银行 信息 安全 风险 评估 是 对 信息 资产 价值 、 面 临 的 威胁 、 存 在 的 弱点 及 三 者 综合 作 
用 而 带 来 风险 的 可 能 性 和 影响 的 评估 。 在 风险 评估 过 程 中 ， 对 威胁 信息 资产 的 可 能 性 、 
严重 性 的 取 值 定义 及 风险 处 置 措 施 的 制定 从 以 下 几 个 方面 考虑 : 
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1) 要 确定 需要 保护 的 信息 资产 的 范围 及 具体 信息 资产 ， 明 确信 息 资 产 的 直接 和 间 
接 价值 。 

2) 确定 信息 资产 面临 的 潜在 威胁 ， 威 胁 发 生 的 可 能 性 有 多 大 。 

3) 确定 信息 资产 中 存在 的 可 能 会 被 威胁 所 利用 的 弱点 ， 以 及 利用 的 容易 程度 。 

4) 确定 一 旦 威胁 事件 发 生 ， 给 银行 带 来 的 操作 风险 、 法 律 风 险 、 信 誉 风险 。 

5) 对 识别 出 的 信息 科技 风险 ,银行 应 采取 相应 的 风险 处 置 措施 将 信息 安全 风险 带 
来 的 损失 降低 到 可 接受 的 程度 。 

总 的 来 说 ， 银 行 风险 评估 应 关注 定量 与 定性 的 评估 方法 、 信 息 资 产 的 分 类 和 分 级 、 
威胁 的 分 类 和 分 级 、 资 产 弱 点 的 严重 性 、 风 险 的 计算 等 关键 内 容 。 


7.4.1 定量 与 定性 的 评估 方法 


言 息 安 全 风险 评估 方法 有 两 种 : 定量 的 方法 和 定性 的 方法 。 定 量 分 析 是 试图 从 财务 
价值 上 对 构成 风险 的 各 项 要 素 (特别 是 资产 ) 进行 量化 分 析 评 佑 的 一 种 方法 ， 由 于 是 
量 分 析 所 依赖 数据 的 可 靠 性 和 有 效 性 很 难保 证 ， 加 之 对 数据 统计 缺乏 长 期 性 ， 所 以 ， 定 
量 分 析 的 方法 在 银行 信息 安全 风险 评 佑 中 并 不 常用 ， 取 而 代 之 的 是 更 容易 实施 的 定性 分 
析 方 法 。 定 性 风险 评 佑 并 不 一 定 要 对 构成 风险 的 各 个 要 素 (特别 是 资产 ) 进行 精确 的 
量化 评价 ， 它 借助 评估 者 的 经 验 判断 、 业 界 惯 例 及 银行 自身 定义 的 标准 ， 来 对 风险 要 素 
进行 相对 的 等 级 分 化 ， 最 终 得 出 的 风险 大 小 ， 只 需要 通过 等 级 差别 来 分 出 优先 顺序 即 
可 。 事 实 上 商业 银行 最 关心 的 是 业务 活动 的 持续 性 ， 对 于 影响 业务 活动 持续 性 的 各 种 风 
险 问题 ， 在 有 限 的 资源 支持 情况 下 ， 只 需要 抓 住 最 突出 的 问题 ， 有 针对 性 地 采取 措施 
即 可 。 

信息 安全 风险 评 佑 是 依据 有 关 的 政策 法 规 及 商业 银行 相关 信息 技术 标准 ， 对 系统 及 
由 其 处 理 、 传 输 和 存储 信息 的 保密 性 、 完 整 性 和 可 用 性 等 安全 属性 进行 综合 评估 的 活动 
过 程 。 风 险 评 估 包 括 对 信息 资产 的 弱点 、 信 息 资产 面临 的 威胁 及 其 发 生 的 可 能 性 ， 以 及 
弱点 被 威胁 利用 后 所 产生 的 负面 影响 ， 并 根据 安全 事件 发 生 的 可 能 性 和 负面 影响 的 程度 
来 标识 信息 资产 的 安全 风险 。 风 险 评估 模型 如 图 7-6 所 示 。 


威胁 识别 威胁 可 能 性 
安全 事件 的 可 
能 性 
弱点 识别 
安全 事件 造成 
的 损失 


图 7-6 ”风险 评估 模型 
注 : 该 图 来 源 于 《CB/T 20984 一 2007. 信息 安全 风险 评估 规范 》。 


弱点 严重 性 


资产 识别 


信息 资产 的 
价值 
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在 风险 评 佑 模型 中 ， 主 要 包含 信息 资产 等 级 、 弱 点 、 威 胁 和 风险 4 个 要 素 ， 每 个 要 
素 有 各 自 的 属性 。 信 息 资 产 的 属性 是 资产 价值 ， 弱 点 的 属性 是 弱点 被 威胁 利用 后 对 资产 
带 来 影响 的 严重 程度 ; 威胁 的 属性 是 威胁 发 生 的 可 能 性 和 历史 发 生 频 率 ; 风险 的 属性 是 
风险 值 的 高 低 。 因 此 风险 评 佑 及 管理 的 过 程 是 : 

1) 对 信息 资产 进行 分 类 ， 依 据 资产 在 不 同安 全 属性 〈 保 密 性 、 完 整 性 及 可 用 性 ) 
中 所 占 权 重 的 不 同 对 资产 进行 赋值 。 

2) 识别 信息 资产 的 弱点 ， 并 对 弱点 的 严重 程度 赋值 。 

3) 对 威胁 进行 评 佑 ， 并 对 威胁 发 生 的 可 能 性 和 历史 发 生 频 率 赋值 。 

4) 计算 信息 资产 的 风险 值 ， 得 到 信息 资产 的 风险 级 别 ， 并 对 风险 进行 处 置 ， 选 择 
合适 的 控制 措施 。 

风险 评 佑 的 结果 是 在 对 现 有 安全 控制 措施 执行 有 效 性 评估 的 基础 上 ， 将 评价 得 出 的 
资产 价值 、 威 胁 可 能 性 和 弱点 严重 性 分 别 赋 值 ， 将 三 者 赋值 相 乘 ， 计 算得 出 最 终 的 风 
险 值 。 


7.4.2 信息 资产 的 分 类 和 分 级 


言 息 资产 是 指 任何 对 企业 具有 价值 的 信息 资产 ， 包 括 计 算 机 硬件 、 通 信 设 施 、 
建筑 物 、 数 据 库 、 文 档 信 息 、 软 件 、 信 息 服 务 和 人 员 等 ， 所 有 这 些 资产 都 需要 妥善 
保护 。 为 了 进一步 定义 其 价值 ， 一般 需 将 其 分 类 ， 除 一 般 认 可 的 软件 、 硬 件 、 数 据 
资产 外 ， 还 需 增加 人 员 、 服 务 等 项 目 ， 在 此 基础 上 可 进一步 细 分 ， 以 达到 精细 化 管 
理 的 要 求 。 

结合 相关 标准 (如 ISOZIEC 27005 等 )、“ 三 道 防 线 ” 及 相关 法 规 (如 《商业 银行 
言 息 科技 风险 管理 指引 》《 商 业 银行 内 部 控制 指引 》 等 ) 的 要 求 ， 可 以 将 信息 技术 资产 
分 为 硬件 类 、 软 件 类 、 数 据 / 文 档 、 组 织 、 人 员 、 服 务 及 网 络 七 类 。 然 后 根据 资产 类 别 、 
职能 或 等 级 划分 为 不 同 子 类 ， 并 根据 其 所 支持 的 业务 或 实现 的 功能 划分 小 类 ， 从 而 实现 
资产 的 三 级 分 类 ( 表 7-2)。 

表 7-2 ”信息 资产 分 类 


类 别 子 类 资产 类 别 编号 资产 简介 
HW1—1 核心 业务 区 服务 器 
HW1 一 2 非 核心 业务 区 服务 器 
服务 器 
HW1—3 灾 备 类 服务 器 
HW1 一 4 开发 /测试 主机 
硬件 

HW2—1 电力 及 空调 设施 

物理 环境 设备 
HW2—2 安防 设施 

桌面 终端 设备 HW3—1 桌面 终端 

其 他 HW4—1 备份 存储 介质 
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( 续 ) 
类 别 子 类 资产 类 别 编 号 资产 简介 
SW1 一 ! 业务 系统 
SW1 一 2 渠道 类 软件 
应 用 系统 软件 
SW1 一 3 管理 类 软件 
软件 SW1 一 4 数据 类 软件 
SW2—1 数据 库 软件 
服务 器 类 软件 
SW2 一 2 服务 器 操作 系统 软件 
终端 类 软件 SW3 一 1 终端 操作 系统 软件 
机 密 信息 DT1—1 机 密 类 数据 文档 
数据 /文档 秘密 信息 DT2—1 秘密 类 数据 文档 
内 部 信息 DT3—1 内 部 数据 文档 
埋 息 安全 治理 层 ORG1 一 1 风险 及 审计 委员 会 
信息 安全 管理 层 ORG2 一 1 言 息 科技 管理 委员 会 及 信息 安全 管理 小 组 
组 织 ORGC3 一 1 言 息 技术 部 
言 息 安 全 执行 层 ORG3—2 业务 部 门 
ORG3 一 3 其 他 一 般 执行 部 门 
管理 类 人 员 PS1—1 部 门 负责 人 
PS2—1 程序 开发 人 员 
PS2—2 程序 测试 人 员 
内 部 一 般 岗位 人 员 
人 员 PS2 一 3 运行 维护 人 员 
PS2 一 4 一 般 岗 位 人 员 
PS3 一 ! 外 包 商 人 员 
第 三 方 人 员 
PS3 一 2 清洁 人 员 ,保安 物业 人 员 .电工 等 
NW1 一 ! 网 络 基础 设施 
网 络 网 络 设施 
NW1—2 安全 设备 及 设施 
电信 类 服务 SVC1—1 电信 网 络 类 服务 
服务 人 员 类 服务 SVC2 一 1 外 包 人 员 服 务 
基础 类 服务 SVC3—1 物业 服务 


对 细 分 后 的 信息 资产 ， 需 
息 安 全 的 角度 ， 即 机 密 性 、 完 


ee 
整 


利 ， 如 表 7-3 所 示 。 


义 其 价值 。 这 里 所 讲 的 价值 并 不 是 财物 价格 ， 而 是 从 信 
性 、 可 用 性 的 价值 取 值 ， 可 采取 三 级 分 类 。 资 产 价值 评 
佑 主要 对 资产 的 保密 性 〈C) 、 完 整 性 〈I) 、 可 用 性 (A) 进行 赋值 评估 。 在 评估 过 程 
中 ， 对 所 有 的 资产 都 进行 了 CIA 赋值 ， 并 依据 资产 的 自身 特点 ， 细 化 了 其 保密 性 、 完 
整 性 、 可 用 性 的 适用 范围 ， 比 如 硬件 类 资产 安全 属性 应 关注 可 用 性 (硬件 的 保密 性 、 
完整 性 不 适用 ) ， 根 据 实际 情况 和 业界 经 验 ， 针 对 每 类 资产 ,制订 了 资产 CIA 适用 范 
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表 7-3 资产 CIA 赋值 


资产 类 别 CIA 适用 范围 CIA 赋值 等 级 
硬件 A 一 可 用 性 1 一 低 2 一 中 3 一 高 4 一 极 高 
C 一 保密 性 
软件 [一 完整 性 1 一 低 2 一 中 3 一 高 4 一 极 高 
A 一 可 用 性 
C 一 保密 性 
数据 /文档 [一 完整 性 1 一 低 2 一 中 3 一 高 4 一 极 高 
A 一 可 用 性 
C 一 保密 性 
组 织 [一 完整 性 1 一 低 2 一 中 3 一 高 4 一 极 高 
A 一 可 用 性 
C 一 保密 性 
人 员 [一 完整 性 1 一 低 2 一 中 3 一 高 4 一 极 高 
A 一 可 用 性 
C 一 保密 性 
网 络 [一 完整 性 1 一 低 2 一 中 3 一 高 4 一 极 高 
A 一 可 用 性 
通过 前 面 对 信息 技术 资产 安全 属性 的 赋值 ， 可 以 判断 该 资产 在 公司 安全 风险 管控 活 


动 中 的 价值 ， 经 过 价值 等 级 计算 ， 公司 就 可 以 结合 相应 的 弱点 /威胁 等 级 对 资产 采用 明 
确 的 分 类 保护 措施 ， 从 而 达到 保障 公司 信息 技术 经 营 活 动 的 目标 。 信 息 技 术 资 产 等 级 的 
计算 主要 来 源 于 资产 的 3 个 属性 ， 同 时 参考 最 佳 实践 并 根据 企业 特点 ， 通 过 以 下 公式 对 
资产 价值 进行 计算 。 
资产 价值 = Roundl | Log2[ (A x2C +B x2m+Cx24Aa)Z3] | 

式 中 ，A 代表 保密 性 的 权 值 ; B 代表 完整 性 的 权 值 ; C 代表 可 用 性 的 权 值 ，Round 
函数 是 按 制 定位 数 ， 对 数值 四 售 五 人 (Roundl 表示 保留 1 位 小 数 ) 。 

计算 出 信息 技术 资产 安全 价值 大 小 后 ， 可 将 它 分 为 以 下 4 个 等 级 ( 表 7-4) 。 


表 7-4 资产 等 级 


资产 等 级 价值 分 类 资产 价值 
1 低 0 一 1( 含 1) 
2 中 等 1 一 2( 含 2) 
3 高 2 一 3( 含 3) 
4 很 高 3 一 4( 含 4) 


7.4.3 威胁 的 分 类 和 分 级 


风险 评 佑 过 程 中 ， 针 对 不 同 的 威胁 来 源 ， 我 们 考虑 了 下 述 的 安全 威胁 种 类 。 
1) 不 可 抗力 、 不 可 控 且 不 为 意志 转移 的 威胁 事件 ， 如 台风 等 环境 灾难 、 鼠 蚊虫 
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害 、 火 灾 等 。 

2) 人 为 错误 与 人 员 相关 的 威胁 事件 ， 如 失误 导致 的 数据 丢失 、 错 误 的 操作 、 无 意 
造成 的 损害 等 。 

3) 技术 故障 物理 设备 及 基础 设施 等 出 现 的 技术 或 功能 故障 ， 如 网 络 组 件 故 障 、 供 
电 故 障 等 。 

4) 蓄意 破坏 公司 内 部 或 外 部 人 员 有 意识 的 对 信息 资产 造成 的 破坏 事件 ， 如 偷 穷 、 
伪装 、 社 会 工程 等 。 

威胁 的 可 能 性 是 指 威胁 事件 发 生 概 率 或 频率 的 定性 描述 。 威 胁 的 可 能 性 赋值 主要 
需 考虑 其 历史 发 生 频 率 及 现 有 管控 措施 下 的 安全 事件 发 生 的 可 能 性 。 本 方法 将 威胁 可 能 
性 分 为 3 个 等 级 ， 分 别 是 高 、 中 、 低 ， 将 其 从 高 到 低 分 别 赋值 3 ~ 1 分 。 威 胁 赋 值 标准 
参照 表 7-5。 


表 7-5 威胁 赋值 及 定义 


威胁 赋值 等 级 描述 威胁 值 定义 

ee 威胁 能 利用 弱点 而 造成 冲击 的 可 能 性 高 , 且 该 威胁 的 历史 发 生 频 率 
3 高 很 可 能 > 
很 高 

威胁 能 利用 弱点 而 造成 冲击 的 可 能 性 中 , 且 该 威胁 的 历史 发 生 频 率 中 

2 中 可 能 或 较 高 ;威胁 能 利用 弱点 而 造成 冲击 的 可 能 性 中 等 或 较 高 , 且 该 威胁 的 历 

史 发 生 频 率 中 等 
威胁 能 利用 弱点 而 造成 冲击 的 可 能 性 很 低 ; 或 者 该 威胁 的 历史 发 生 频 


率 很 低 或 未 发 生 过 


7.4.4 资产 弱点 的 严重 性 


弱点 评 佑 是 资产 风险 评估 中 的 主要 内 容 。 弱 点 是 资产 本 身 存 在 的 ， 可 被 威胁 利用 ， 进 
而 引起 信息 资产 的 损失 。 本 次 风险 评 佑 过程 中 考虑 的 弱点 是 针对 和 硬件、 软件 、 数 据 / 文 档 、 
组 织 、 人 员 和 网 络 六 种 资产 的 弱点 。 

弱点 评估 的 主要 目的 是 评估 信息 资产 的 弱点 严重 性 。 此 次 弱点 评估 所 使 用 的 主要 方 
法 包括 : 

1) 信息 技术 安全 扫描 ; 使 用 漏洞 扫描 工具 对 应 用 系统 所 在 环境 及 开发 测试 所 在 的 
网 络 环境 进行 安全 扫描 ， 结 果 作为 风险 评估 输入 内 容 的 一 部 分 。 

2) 人 员 问 询 : 询问 相关 人 员 ， 以 了 解 信 息 资 产 风 险 的 实际 情况 ， 并 在 工具 中 进行 
记录 。 

3) 集体 评估 : 和 相关 人 员 进 行 共同 讨论 ， 就 信息 资产 风险 评估 过 程 中 的 赋值 及 结 
论 达 成 共识 。 

4) 文档 查阅 : 查阅 相关 文档 ， 以 了 解 信息 资产 安全 相关 的 管理 手段 。 

弱点 的 严重 性 主要 是 指 弱点 被 利用 所 引发 影响 的 严重 程度 。 本 次 风险 评 佑 过程 中 将 
弱点 严重 性 分 为 3 个 等 级 ， 分 别 是 高 、 中 、 低 ， 将 弱点 严重 性 从 高 到 低 分 别 赋值 3 ~1 
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分 。 弱 点 赋值 标准 参照 表 7-6。 
表 7-6 弱点 赋值 及 说 明 


弱点 赋值 等 级 说 明 ( 当 该 弱点 被 利用 时 引起 后 果 的 严重 性 ) 
加 缺乏 相应 的 管控 标准 , 且 未 执行 相应 的 控制 措施 ,以 至 于 该 弱点 被 利用 后 造 
成 的 影响 很 高 
5 加 设计 了 相应 的 管控 标准 ,但 不 够 完善 或 执行 过 程 中 没有 严格 合 规 ,以 至 于 该 
弱点 被 利用 造成 的 影响 中 等 
网 设计 了 完善 的 管控 标准 , 且 执 行 有 效 , 以 至 于 该 弱点 被 利用 造成 的 影响 有 限 
或 可 忽略 


7.4.5 风险 的 计算 


前 文 已 经 指出 ， 每 项 资产 的 风险 状况 可 用 公式 简单 计算 得 到 ， 即 
风险 值 = 资产 价值 x 威胁 可 能 性 x 弱点 严重 性 
资产 价值 分 为 4 类 的 情况 下 ， 其 价值 高 低 取 值 分 别 为 4、3、2、1; 威胁 可 能 性 、 
弱点 严重 性 采用 三 级 分 类 的 情况 下 ， 其 高 、 中 、 低 取 值 分 别 为 3、2、1， 资 产 的 风险 值 
则 可 参照 表 7-7。 


表 7-7 信息 安全 风险 计算 


风险 级 别 下 限 值 上 限 值 
高 (H) 24 36 
中 (M) 9 18 
低 (L) 1 8 


可 以 定义 风险 值 为 1 ~8 的 资产 为 低 风 险 资产 ， 风 险 值 为 9 ~ 18 为 中 等 风险 资产 ， 
风险 值 为 24 ~ 36 为 高 风险 资产 。 

银行 可 根据 自身 的 风险 偏好 ， 确 定 可 接受 的 风险 程度 ， 如 低 风 险 可 接受 ， 而 中 高 风 
险 不 可 接受 ; 然后 对 不 可 接受 风险 采取 相应 的 控制 和 降低 措施 (可 参考 ISO 27001 信息 
安全 管理 体系 标准 业务 的 相关 策略 ) 。 通 常 通过 降低 风险 发 生 的 可 能 性 ， 确 保 所 有 资产 
的 残余 风险 控制 在 可 接受 的 范围 内 。 


7.5 银行 信息 安全 风险 处 置 


7.5.1 风险 处 置 方式 


消除 所 有 风险 往往 是 不 切实 际 的 ， 也 是 不 可 能 的 ， 必 须 在 权衡 成 本 的 前 提 下 实现 最 
合适 的 风险 处 置 措施 ， 将 风险 控制 在 可 接受 的 级 别 ， 使 得 可 能 的 负面 影响 最 小 化 。 风 险 
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处 置 包 括 对 风险 评估 过 程 中 建议 的 安全 措施 进行 优先 级 排序 、 评 估 和 实施 。 

风险 处 置 是 一 种 系统 化 方法 ， 可 通过 多 种 方式 实现 : 

1) 风险 承受 : 接受 潜在 的 风险 并 继续 运行 信息 系统 ， 不 对 风险 进行 处 理 。 

2) 风险 降低 : 通过 实现 安全 措施 来 降低 风险 ， 从 而 将 脆弱 性 被 威胁 源 利用 后 可 能 
带 来 的 不 利 影响 最 小 化 (如 使 用 防火 墙 、 汤 洞 扫描 系统 等 安全 产品 ) 。 

3) 风险 规避 : 不 介入 风险 ,通过 消除 风险 的 原因 和 /或 后 果 (如 放弃 系统 某 项 功 
能 或 关闭 系统 ) 来 规避 风险 。 

4) 风险 转移 : 通过 使 用 其 他 措施 来 补偿 损失 ， 从 而 转移 风险 ， 如 购买 保险 。 

在 选择 风险 处 置 方式 时 应 该 考虑 银行 的 目标 和 使 命 。 不 可 能 解决 所 有 的 风险 ， 应 对 
那些 可 能 给 使 命 带 来 严重 危害 的 威胁 /脆弱 性 对 进行 优先 级 排序 。 同 时 ， 在 保护 单位 的 
使 命 及 其 信息 系统 时 ， 由 于 各 单位 有 其 特定 的 环境 和 目标 ， 因 此 用 来 处 理 风险 的 方式 和 
实现 安全 措施 的 方法 也 各 有 不 同 。 


7.5.2 风险 处 置 的 针对 性 


风险 处 置 方 式 及 安全 措施 体现 了 极 强 的 针对 性 ， 必 须 依 靠 风险 评估 的 结果 确定 风险 
处 置 方 式 及 具体 的 安全 措施 。 

在 安全 措施 中 ， 有 的 针对 信息 系统 中 的 脆弱 性 (如 为 系统 漏洞 打 补 丁 ) ， 有 的 针对 
威胁 (如 使 用 物理 隔离 手段 ， 使 攻击 者 无 法 访问 系统 )。 威 胁 的 属性 包括 威胁 的 主体 
(威胁 源 ) 、 能 力 、 资 源 、 动 机 、 途 径 、 可 能 性 和 后 果 。 在 针对 威胁 的 措施 中 ， 可 视 具 
体 情况 ， 针 对 不 同 的 威胁 属性 ,采用 不 同 的 手段 来 处 理 。 

1) 针对 威胁 源 : 采用 物理 隔离 手段 ， 使 攻击 者 无 法 访问 系统 ， 消 除 威胁 源 。 

2) 针对 威胁 者 的 能 力 : 采用 强加 密 手 段 ， 使 一 般 攻击 者 无 法 解密 重要 信息 。 

3) 针对 威胁 者 的 资源 : 采用 层次 化 的 保护 和 纵深 防御 措施 ， 使 攻击 者 的 资源 难以 
支持 其 突破 信息 系统 的 保护 防线 。 

4) 针对 威胁 者 的 途径 : 将 通信 线路 和 电源 线路 置 于 墙 内 或 天 花 板 内 ， 防 止 被 老鼠 
咬 断 。 


7.5.3 风险 处 置 的 过 程 


在 处 理 风险 时 ， 可 遵循 以 下 步骤 ， 旨 在 解决 最 大 的 风险 ， 以 最 小 的 成 本 来 将 风险 控 
制 在 可 接受 的 水 平 ， 同 时 使 风险 对 其 他 使 命 能 力 的 影响 降 至 最 小 。 

(1) 步骤 1 对 优先 级 进行 排序 。 基 于 在 风险 评估 结果 报告 中 提出 的 风险 级 别 ， 对 
风险 处 置 的 工作 进行 优先 级 排序 。 高 等 级 〈 如 被 定义 为 “非常 高 ”或 “高 ”风险 级 的 
风险 ) 的 风险 项 应 该 最 优先 处 理 。 

步 又 1 的 输出 从 高 优先 级 到 低 优 先 级 的 行动 。 

(2) 步骤 2 评估 所 建议 的 安全 措施 。 风 险 评 估 过 程 中 建议 的 安全 措施 对 于 具体 的 
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单位 及 其 信息 系统 可 能 不 是 最 适合 和 最 可 行 的 。 在 该 步骤 中 ， 要 对 所 建议 的 安全 措施 的 
可 行 性 〈 如 兼容 性 、 用 户 接受 程度 ) 和 有 效 性 〈 如 保护 程度 和 风险 控制 的 级 别 ) 进行 
分 析 ， 旨 在 选择 出 最 适当 的 安全 措施 ， 使 风险 降 至 最 低 。 

步 又 2 输出 : 可 行 安全 措施 的 列表 。 

(3) 步骤 3 实施 成 本 效益 分 析 。 为 了 使 管理 层 做 出 决策 ， 并 找 出 成 本 有 效 性 最 好 
的 安全 措施 ， 要 实施 成 本 分 析 。 

步 又 3 输出 : 成 本 效益 分 析 的 结果 ， 判 断 实现 或 拒绝 一 个 安全 措施 时 的 成 本 和 
效益 。 

(4) 步骤 4 选择 安全 措施 。 在 成 本 效益 分 析 的 基础 上 ， 选 择 成 本 有 效 性 最 好 的 安 
全 措施 来 降低 单位 的 风险 。 

步骤 4 输出 : 所 选择 的 安全 措施 。 

(5) 步骤 $ 分 配 责 任 和 任务 。 遂 选 出 拥有 合适 的 专长 和 技能 ， 可 实现 所 选 安全 措 
施 的 人 员 (包括 单位 内 部 的 人 员 或 外 部 服务 商 / 集 成 商 ) ， 并 赋 以 相应 责任 。 

步骤 5 输出 : 责任 和 任务 人 员 清 单 

(6) 步骤 6 制订 安全 措施 的 实现 计划 。 在 本 步骤 中 将 制订 安全 措施 的 实现 计划 。 
该 计划 应 该 至 少 包 括 下 列 信息 : 

1) 风险 (脆弱 性 /威胁 对 ) 和 相关 的 风险 级 别 ( 风险 评估 报告 的 输出 ) 。 

2) 所 建议 的 安全 措施 (风险 评估 报告 的 输出 )。 

3) 优先 的 行动 (将 高 优先 级 赋予 “非常 高 ”或 “高 ”风险 级 的 项 目 ) 。 

4) 所 选择 的 预期 安全 措施 (基于 可 行 性 、 有 效 性 、 机 构 的 收益 和 成 本 来 决定 ) 。 

5) 实现 预期 安全 措施 时 所 需 的 资源 。 

6) 负责 小 组 和 人 员 清 单 。 

7) 开始 日 期 。 

8) 目标 完成 日 期 。 

9) 维护 要 求 。 

步 又 6 输出 : 安全 措施 的 实现 计划 。 

(7) 步骤 7 实现 所 选择 的 安全 措施 。 根 据 责任 和 任务 分 配 ， 调 动 资源 实现 所 选择 
的 安全 措施 ， 但 安全 措施 实施 后 仍然 存在 的 风险 为 残余 风险 。 

步骤 7 输出 : 残余 风险 清单 。 


7.5.4 风险 处 置 的 成 本 分 析 


为 了 有 效 分 配 资源 并 实现 成 本 有 效 性 较 好 的 安全 措施 ， 在 确定 所 有 可 能 的 安全 措施 
并 对 其 可 行 性 和 有 效 性 进行 评估 后 ， 应 对 每 一 个 建议 的 措施 进行 成 本 效益 分 析 ， 以 判断 
哪些 措施 是 必需 的 且 适 合 于 用 户 的 环境 。 

成 本 效益 分 析 可 以 是 定性 或 者 定量 的 ， 其 目的 是 说 明 安 全 措施 的 实现 成 本 相对 于 风 
险 级 的 降低 来 说 是 合理 的 。 
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对 所 建议 的 安全 措施 进行 成 本 效益 分 析 时 ， 可 包括 以 下 内 容 : 

1) 判断 由 于 实现 安全 措施 而 带 来 的 影响 。 

2) 判断 由 于 没 实现 安全 措施 而 带 来 的 影响 。 

3) 对 实现 安全 措施 的 成 本 进行 估计 。 包 括 但 不 限于 : 

QD 购买 硬件 和 软件 的 成 本 。 

Q@ 如 果 因 为 安全 措施 而 导致 系统 性 能 或 功能 下 降 ， 所 降低 的 运行 效率 是 多 少 。 

(3) 制定 并 实施 安全 策略 和 流程 的 成 本 。 

(4 新 增 工 作 人 员 来 实现 安全 策略 、 流 程 或 服务 的 成 本 。 

(3) 培训 成 本 。 

@ 维护 成 本 。 

CO 针对 资产 价值 而 对 实现 成 本 和 可 能 产生 的 效益 进行 评估 ， 以 判断 在 给 定 的 成 本 
和 相应 的 影响 下 ， 新 的 安全 措施 对 单位 的 必要 性 和 重要 性 。 
银行 的 管理 层 必须 判断 哪些 才 是 可 接受 的 风险 。 当 一 个 单位 确定 可 接受 的 风险 范围 
， 才 可 能 去 评估 安全 措施 的 影响 ， 包 括 实现 和 不 实现 安全 措施 带 来 的 影响 。 这 一 风险 
围 因 不 同 的 单位 而 有 所 不 同 ; 然而 ， 判 断 是 否 使 用 新 的 安全 措施 时 可 利用 下 列 规则 : 
QD 如 果 安 全 措施 对 风险 的 降低 效果 比 预期 的 要 求 还 要 好 ， 则 应 考虑 是 否 有 更 廉价 
的 蔡 代 方案 。 

Q@ 如 果 安 全 措施 的 成 本 超过 它 所 能 降低 的 风险 ， 则 应 寻找 其 他 方法 。 

(3) 如 果 安 全 措施 没有 降低 风险 ， 则 寻求 更 多 的 安全 措施 或 另外 一 种 不 同 的 安全 
措施 。 

(4 如 果 安 全 措施 能 够 降低 风险 并 且 成 本 有 效 性 比较 好 ， 则 选用 它 。 

一 般 而 言 ， 实 现 一 项 安全 措施 的 成 本 比 不 实现 一 项 安全 措施 的 成 本 更 容易 确定 。 因 
此 ， 高 级 管理 层 在 判断 是 否 要 实现 安全 措施 时 扮演 着 关键 的 角色 。 


吉 对 


7.5.5 残余 风险 管理 


残余 风险 是 指 采取 安全 措施 对 风险 进行 处 理 ， 提 高 了 信息 安全 保障 能 力 后 ， 仍 然 可 
能 存在 的 风险 。 残 余 风 险 的 来 源 为 两 方面 ， 一 部 分 残余 风险 来 自 于 安全 措施 可 能 不 当 或 
无 效 ， 以 后 需要 继续 控制 这 部 分 风险 ; 另 一 部 分 则 是 在 综合 考虑 了 安全 的 成 本 与 资产 价 
值 后 ， 有 意 未 去 控制 的 风险 ， 这 部 分 风险 是 可 以 被 接受 的 。 

残余 风险 应 受到 密切 监视 ， 因 为 它 可 能 会 在 将 来 诱发 新 的 事件 。 风 险 处 置 的 最 后 过 
程 中 ， 应 列举 出 信息 系统 中 所 有 残余 风险 的 清单 。 在 信息 系统 的 运行 中 ,应 密切 监视 这 
些 残 余 风 险 的 变化 ， 并 及 时 处 理 。 再 次 评估 信息 系统 安全 风险 时 ， 应 将 残余 风险 作为 
重点 。 
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第 8 章 
信息 安全 规划 与 建设 


言 息 安全 规划 与 建设 、 信 息 安全 监控 与 检查 、 信 息 安 全 事件 与 应 急 响应 、 业 务 连 续 
性 与 灾难 恢复 ， 以 及 信息 安全 审计 等 是 信息 安全 运作 的 主体 内 容 。 它 们 之 间 紧 密 联 系 ， 
相互 协调 ， 构 成 了 信息 安全 运作 的 闭环 管理 。 

本 章 重 点 介绍 了 信息 安全 规划 与 建设 的 内 容 ,， 包 括 信 息 安全 规划 的 意义 、 定 位 、 要 
求 、 主 要 任务 ,信息 安全 规划 的 内 容 、 主 体 与 时 间 ， 信 息 安全 规划 的 形式 。 与 信息 安全 规 
划 密 切 相关 的 是 信息 安全 建设 ， 本 章 重 点 介绍 了 信息 安全 建设 的 原则 、 依 据 、 内 容 等 。 


8.1 信息 安全 规划 


8. 1.1 信息 安全 规划 的 意义 


言 息 安全 规划 在 信息 安全 运作 甚至 整个 信息 安全 管理 体系 具有 重要 意义 ， 它 包括 : 

1) 战略 落地 需要 : 信息 安全 战略 的 有 效 执行 ， 需 要 将 信息 安全 战略 上 升 到 国家 战 
略 的 高 度 ， 同 时 ， 还 需要 通过 信息 安全 战略 规划 ， 保 障 信息 安全 战略 有 效 落地 执行 。 

2) 规范 信息 安全 体系 : 通过 信息 安全 规划 ， 将 信息 安全 进行 系统 性 研究 ， 形 成 合 
理 的 信息 安全 体系 ， 保 障 信息 安全 工作 的 全 面 性 和 合理 性 。 

3) 指导 信息 安全 工作 开展 : 对 信息 安全 重点 内 容 进 行规 划 ， 有 利于 指导 具体 工作 
的 开展 。 

4) 加 强 信息 安全 宣传 : 信息 安全 规划 同时 也 是 对 信息 安全 本 身 的 一 种 宣传 ， 让 全 
行 各 级 领导 和 各 级 员工 加 强 信 息 安 全 意识 。 


8. 1.2 信息 安全 规划 的 定位 


从 银行 业务 战略 、 科 技 战略 和 信息 安全 的 定位 上 看 ,科技 战略 承接 和 支撑 业务 战 
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略 ， 信 息 安全 承接 和 支撑 科技 战略 。 因 此 信息 安全 规划 应 以 强化 信息 科技 风险 防范 和 信 
息 安 全 保障 能 力 ， 提 供 业务 持续 、 稳 定 、 健 康 发 展 为 最 终 目标 (图 8-1)。 
言 息 化 规划 是 以 整个 银行 的 发 展 


目标 、 发 展 战 略 和 银行 各 部 门 的 业务 ee 业务 战略 规划 
需求 为 基础 ， 结 合 行业 信息 化 方面 的 | 

需求 分 析 、 环 境 分 析 和 对 信息 技术 发 

展 趋势 的 掌握 ， 定 义 出 银行 信息 化 建 pe Ws 
设 的 远景 、 使 命 、 目 标 和 战略 ， 规 划 | 


出 银行 信息 化 建设 的 未 来 架构 ， 为 信 人 A 


息 化 建设 的 实施 提供 一 幅 完 整 的 蓝图 ， 

全 面 系 统 地 指导 银行 信息 化 建设 的 进 图 8-1 银行 信息 安全 规划 定位 

程 。 信 息 安全 规划 依托 银行 信息 化 战 

略 规划 ， 对 信息 化 战略 的 实施 起 到 保驾 护航 的 作用 。 信 息 安 全 规划 的 目标 应 该 与 银行 信 
息 化 的 目标 一 致 ， 而 且 应 该 比 银行 信息 化 的 目标 更 具体 明确 、 更 贴近 安全 。 信 息 安 全 规 
划 的 一 切 论述 都 要 围绕 着 这 个 目标 展开 和 部 署 。 


8. 1.3 信息 安全 规划 的 要 求 


言 息 安全 规划 的 最 终 效果 应 该 体现 在 对 信息 系统 与 信息 资源 的 安全 保护 上 ， 因 此 规 
划 工 作 需 要 围绕 着 信息 系统 与 信息 资源 的 开发 、 利 用 和 保护 工作 进行 ， 包 括 蓝图 、 现 
状 、 需 求 、 措 施 4 个 方面 。 首 先 ， 对 信息 系统 与 信息 资源 的 规划 需要 从 信息 化 建设 的 蓝 
图 入 手 ， 明 确 银行 信息 化 发 展 策略 的 总 体 目 标 和 各 阶段 的 实施 目标 ， 制 定 信 息 安全 的 发 
展 目标 ; 第 二 ， 对 银行 的 信息 化 工作 现状 进行 整体 的 、 综 合 的 、 全 面 的 分 析 ， 找 出 过 去 
工作 中 的 优势 与 不 足 ; 第 三 ， 根 据 信 息 化 建设 的 目标 提出 未 来 几 年 的 需求 ， 这 个 需求 最 
好 可 以 分 解 成 若干 个 小 的 方面 ， 以 便于 今后 的 落实 与 实施 ; 第 四 ， 要 将 实施 工作 阶段 的 
具体 措施 与 办 法 文档 化 ， 提 高 规划 工作 的 执行 力度 。 

信息 安全 规划 服务 于 银行 信息 化 战略 目标 ， 信 息 安 全 规划 做 得 好 ， 银 行 信息 化 工作 
的 实现 就 有 了 保障 。 信 息 安 全 规划 是 银行 信息 化 发 展 战略 的 基础 性 工作 ， 不 是 可 有 可 
无 ， 而 是 非常 重要 的 。 由 于 银行 信息 化 的 任务 与 目标 不 同 ， 所 以 信息 安全 规划 包括 的 内 
容 就 不 同 ， 建 设 的 规模 就 有 很 大 的 差异 ， 因 此 信息 安全 规划 无 法 从 专业 书籍 或 研究 资料 
中 找到 非常 有 针对 性 的 帮助 ， 也 不 可 能 给 出 一 个 规范 化 的 信息 安全 规划 的 模板 。 在 这 里 
提出 信息 安全 规划 框架 与 方法 ， 给 出 了 信息 安全 规划 工作 的 一 种 建设 原则 、 建 设 内 容 、 
建设 思路 ， 具 体 规划 还 需要 深入 细致 地 进行 本 地 化 的 调查 与 研究 。 


8. 1.4 信息 安全 规划 的 主要 任务 


1. 夯实 信息 安全 基础 ， 推 进 信息 资产 分 类 分 级 管理 
1) 以 国家 等 级 保护 制度 为 基础 ， 建 立 重要 系统 安全 防护 体系 和 技术 管理 体系 ， 建 
85 


| 银行 信息 安全 技术 及 管理 体系 


立 主动 防御 机 制 。 

2) 逐步 推进 信息 资产 识别 和 分 类 、 分 级 工作 ， 建 立信 息 资产 分 级 标准 、 规 范 ， 明 
确 安全 策略 和 保护 要 求 。 

3) 落实 管理 责任 ， 统 筹 推 进 信息 安全 管理 工作 ， 确 保 信息 安全 管理 范围 的 全 面 
履 盖 。 

4) 加 强 敏 感 信 息 保 护 ， 防 止 信息 资产 违规 泄露 ， 加 强 向 外 部 提供 信息 的 统一 管 
理 ， 严 格 审核 ， 归 口 发 布 。 

5) 综合 运用 技术 和 管理 手段 ， 加 强 终端 设备 的 安全 管理 。 

2. 强化 系统 建设 各 环节 的 安全 管控 ， 加 强 安全 质量 管理 

1) 建立 和 完善 信息 系统 生命 周期 安全 管理 机 制 ， 加 强 信息 安全 管理 制度 体系 建 
设 ， 履 盖 信 息 安 全 方针 、 策 略 、 管 理 要 求 、 操 作 流 程 、 应 急 计划 和 联动 机 制 。 

2) 加 强 信息 系统 建设 全 过 程 安全 管理 ， 制 订 信息 安全 规划 ， 建 立信 息 安全 架构 ， 
统一 部 署 信 息 安 全 功能 ， 提 高 安全 措施 效率 。 

3) 加 强 需求 与 设计 阶段 安全 功能 需求 分 析 与 设计 ， 抓 好 安全 测试 工作 并 贯穿 系统 
研发 过 程 ， 检 测 安全 漏洞 ， 评 佑 安全 需求 的 符合 性 。 

4) 加 强 上 线 前 安全 评估 ， 评 价 系统 安全 性 及 对 整体 安全 保障 体系 的 影响 。 

5) 加 强 系统 运行 安全 评审 ， 及 时 发 现 并 处 置 安全 隐患 。 

3. 优化 信息 安全 技术 防 控 手 段 ， 实 现 纵深 防御 

1) 优化 信息 安全 技术 防御 体系 ， 在 物理 安全 、 网 络 安全 、 系 统 安全 、 应 用 安全 、 
数据 安全 、 操 作 安 全 等 不 同 层面 ， 完 善 身 份 认证 、 访 问 控制 、 资 源 管 理 、 日 志 分 析 、 操 
作 审计 等 安全 功能 ， 主 动 应 对 安全 威胁 ， 重 点 防范 外 部 攻击 ， 提 升 信息 安全 保障 体系 的 
健壮 性 和 有 效 性 。 

2) 强化 基础 设施 安全 保障 ， 深 化 应 用 系统 安全 建设 ， 增 强 应 用 产品 安全 性 。 

3) 建立 用 户 认 证 和 访问 控制 管理 流程 ， 加 强 数 据 访问 权限 管理 ， 有 效 保 护 信 息 
资产 。 

4. 建立 信息 安全 保障 能 力 评价 机 制 ， 保 障 信 息 安全 管理 有 效 性 

1) 建立 信息 安全 保障 体系 评价 机 制 ， 确 定量 化 指标 ， 及 时 开展 评 佑 、 审 计 。 

2) 建立 持续 改进 机 制 ， 保 障 信息 安全 管理 的 持续 性 、 有 效 性 。 


8.1.5 信息 安全 规划 的 内 容 、 主 体 与 时 间 


规划 内 容 解决 “规划 什么 ”的 问题 ， 可 分 为 信息 安全 战略 规划 、 信 息 安 全 体系 规 
划 和 信息 安全 重点 内 容 规 划 三 大 部 分 。 信 息 安 全 战略 规划 是 对 信息 安全 从 战略 高 度 进 行 
的 阐述 和 规划 ， 信 息 安全 体系 规划 是 对 安全 体系 全 局 性 的 规划 ， 对 信息 安全 体系 的 组 
成 、 结 构 、 相 互 关系 进行 系统 分 析 和 说 明 ， 信 息 安全 重点 内 容 规 划 是 对 信息 安全 的 某 一 
具体 内 容 的 详细 规划 ， 如 信息 安全 架构 规划 、 信 息 安 全 专题 规划 等 。 
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规划 主体 解决 “ 谁 来 规划 ”的 问题 ， 规 划 主 体 为 银行 本 身 。 但 其 规划 任务 可 由 外 
部 机 构 承 担 。 对 于 信息 安全 战略 规划 和 信息 安全 体系 规划 ， 建 议 由 外 部 咨询 公司 承担 ， 
而 内 部 人 员 起 到 管理 和 统筹 的 作用 。 对 于 信息 安全 重点 内 容 的 规划 ， 可 由 外 部 咨询 机 构 
或 者 内 部 人 员 承 担 。 内 部 人 员 在 外 部 规划 的 基础 上 ， 结 合 自身 能 力 ， 进 行 信息 安全 规划 
的 执行 、 调 优 及 评价 。 内 部 安全 规划 职责 可 以 不 单独 设 岗 ， 但 职责 需 明 确 在 某 一 岗 
位 上 。 

规划 时 间 解 决 “ 什 么 时 候 规 划 ” 的 问题 ， 对 于 信息 安全 战略 规划 及 信息 安全 体系 
规划 ， 建 议 每 3 ~5 年 定期 进行 ， 对 于 重点 内 容 的 详细 规划 ， 建 议 根据 需要 择机 进行 。 


8.1.6 信息 安全 规划 的 形式 


言 息 安 全 规划 的 方法 可 以 不 同 ， 侧 重点 也 可 以 不 同 , 但 是 需要 围绕 技术 安全 、 管 理 
安全 、 运 维 安全 等 进行 全 面 的 考虑 。 规 划 的 内 容 基 本 上 应 该 涵盖 : 确定 信息 安全 的 任 
务 、 目 标 、 战 略 及 战略 部 门 和 战略 人 员 ， 并 在 此 基础 上 制订 出 物理 安全 、 网 络 安全 、 系 
统 安全 、 运 维 安 全 、 人 员 安 全 的 信息 安全 总 体 规划 。 物 理 安全 包括 环境 设备 安全 、 信 息 
设备 安全 、 网 络 设备 安全 、 信 息 资产 设备 的 物理 分 布 安全 等 ， 网 络 安全 包括 网 络 拓扑 结 
构 安 全 、 网 络 访问 安全 等 ; 系统 安全 包括 操作 系统 安全 、 应 用 软件 安全 、 应 用 策略 安全 
等 ; 运 维 安 全 应 在 控制 层面 和 管理 层面 得 到 保障 ， 包 括 备份 与 恢复 系统 安全 、 漏 洞 检 查 
及 系统 补丁 功能 、 口 令 管理 等 ;人 员 安 全 包括 安全 管理 的 银行 机 构 、 人 员 安 全 教育 与 意 
识 机 制 、 人 员 招 聘 及 离职 管理 、 第 三 方 人 员 安 全 管理 等 。 

言 息 安全 规划 的 形式 包括 信息 安全 战略 规划 、 信 息 安全 体系 规划 及 信息 安全 重要 内 
容 规划 ， 如 图 8-2 所 示 。 

1. 信息 安全 战略 规划 

进行 信息 安全 战略 规划 ， 通 过 
规划 进行 详细 的 信息 安全 战略 分 解 ， 
对 于 信息 安全 愿景 、 目 标 、 关 键 指 
标 、 管 理 层 承诺 、 战 略 实施 方法 及 
言 息 安 全 战略 如 何 落实 业务 战略 和 
科技 战略 等 内 容 进行 系统 曾 述 。 

1) 规划 内 容 : 信息 安全 愿景 、 
目标 、 关 键 指标 、 管 理 层 承诺 、 战 
略 实施 方法 及 信息 安全 战略 如 何 落 
实业 务 战略 和 科技 战略 。 

2) 承担 主体 ， 外 部 机 构 为 主 。 

3) 规划 期 限 : 每 3 ~5 年 定期 进行 。 

4) 规划 要 点 : 形成 专门 的 信息 安全 战略 规划 制度 ， 保 证 其 执行 。 在 战略 规划 前 进 


信息 安全 战略 
规划 


信息 安全 管理 信息 安全 重要 
体系 规划 内 容 规划 


图 8-2 ”信息 安全 规划 的 形式 
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行 安全 战略 的 重 检 。 每 年 年 初 对 规划 内 容 进行 细 化 分 解 ， 年 末 对 规划 的 执行 情况 进行 
评价 。 

2. 信息 安全 管理 体系 规划 

1) 规划 内 容 : 信息 安全 管理 体系 的 组 成 、 结 构 、 相 互 关系 。 

2) 承担 主体 : 外 部 机 构 为 主 。 

3) 规划 期 限 : 每 3 ~5 年 定期 进行 。 

4) 规划 要 点 : 形成 专门 的 信息 安全 体系 规划 制度 ， 保 证 其 执行 。 在 体系 规划 前 进 
行 安全 体系 的 重 检 。 每 年 年 初 对 规划 内 容 进行 细 化 分 解 ， 年 末 对 规划 的 执行 情况 进行 
评价 。 

3. 信息 安全 重要 内 容 规 划 

1) 规划 内 容 : 信息 安全 重点 内 容 (信息 安全 架构 、 信 息 安 全 专题 等 ) 。 

2) 承担 主体 : 外 部 机 构 或 内 部 人 员 。 

3) 规划 期 限 : 根据 实际 情况 不 定期 进行 。 

4) 规划 要 点 : 根据 实际 需要 ， 灵 活 进行 。 每 年 对 是 否 需 要 特定 内 容 规划 进行 决 
策 ， 并 对 规划 的 执行 情况 进行 评价 。 


8.2 信息 安全 建设 


8.2.1 信息 安全 建设 原则 


1. 以 应 用 为 目标 ， 以 需求 为 导向 

言 息 科技 的 目标 是 提高 银行 信息 化 管理 水 平 ， 通 过 加 强 信息 集中 ， 提 高 对 重大 事项 
决策 的 科学 性 和 时 效 性 ， 从 而 提高 整个 银行 的 决策 和 管理 水 平 。 信 息 安全 的 重要 任务 是 
保障 业务 应 用 系统 的 稳定 可 靠 运 行 。 

2. 统一 标准 、 统 一 规划 、 统 一 建设 、 统 一 管理 

信息 安全 建设 是 一 个 复杂 的 系统 工程 ， 涉 及 面 广 ， 需 求 复杂 。 为 了 保证 安全 建设 能 
够 顺利 进行 ,需要 制定 统一 的 技术 标准 和 管理 标准 体系 ， 进 行 统一 的 规划 、 建 设 和 管 
理 ， 从 整体 上 保证 银行 业务 的 安全 性 和 可 用 性 。 

3. 满足 监管 机 构 信 息 安 全 管理 政策 ， 适 度 安全 

银行 运行 者 涉及 社会 安全 、 国 民 经 济 的 大 量 业 务 应 用 系统 和 数据 ， 监 管 机 构 对 于 银 
行 信息 安全 非常 重视 。 确 保 这 些 应 用 系统 和 数据 的 安全 是 银行 持续 、 稳 定 发 展 的 保证 ， 
因此 必须 将 信息 安全 保障 体系 的 建设 作为 银行 建设 的 重要 内 容 对 待 。 同 时 ， 在 保证 安全 
的 前 提 下 ， 要 确保 业务 应 用 系统 的 可 用 性 。 当 安全 机 制 影响 到 业务 应 用 时 ， 可 以 采取 适 
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当 的 风险 处 置 措施 ， 降 低 业 务 应 用 的 风险 。 

4. 充分 利用 现 有 资源 ， 节 能 减 排 

充分 利用 现 有 的 设备 资源 ， 充 分 考虑 应 用 需求 进行 硬件 资源 的 配置 。 加 强 服 务 资 源 
的 整合 ， 引 入 集中 存储 、 集 中 运算 、 虚 拟 化 等 技术 ， 提 高 对 基础 设施 的 利用 率 。 降 低 银 
行 整 体能 耗 ， 达 到 节能 减 排 目 标 。 

5. 以 点 带 面 ， 分 步 实施 

将 银行 信息 安全 与 实际 发 展 需要 充分 结合 ， 分 阶段 完成 信息 安全 整体 建设 。 充 分 评 
佑 系统 风险 ， 以 解决 基本 风险 为 安全 防护 需求 ， 逐 步 完 善 银 行 安全 保障 体系 建设 。 在 保 
证 应 用 需求 的 基础 上 ， 根 据 风 险 需 求 与 应 用 情况 ， 不 断 完 善 银 行 安 全 建设 ， 最 终 建立 起 
全 面 、 可 持续 发 展 的 银行 信息 安全 保障 体系 。 


8. 2.2 ”信息 安全 建设 依据 


(1) 基础 类 标准 

1)《 电 子 银行 安全 评估 指引 》。 

2)《 银 行业 金融 机 构 信 息 系统 安全 保障 问 责 方案 》。 

3)《 商 业 银 行 信息 科技 风险 管理 指引 》。 

4) 《银行 业 金融 机 构 信 息 科 技 外 包 风 险 监管 指引 》。 

5) 《网 上 银行 系统 信息 安全 通用 规范 》。 

6) 《商业 银行 数据 中 心 监管 指引 》。 

7) 《银行 业 金 融 机 构 信息 科技 非 现 场 监管 报表 》。 

8) 《金融 行业 信息 安全 等 级 保护 测评 服务 安全 指引 》。 

9) 《金融 行业 信息 系统 信息 安全 等 级 保护 实施 指引 》。 

10) 《金融 行业 信息 系统 信息 安全 等 级 保护 测评 指南 》。 

11 ) 《银行 业 重要 信息 系统 突 发 事件 应 急 管理 规范 》。 

12) 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》(GB 17859 一 1999) 。 
13) 《信息 系统 安全 等 级 保护 基本 要 求 》(GBZT 22239 一 2008 ) 。 
(2) 应 用 类 标准 

1) 《信息 系统 安全 保护 等 级 定 级 指南 》( GB/T 22240 一 2008) 。 
2) 《信息 系统 安全 等 级 保护 实施 指南 》 (信安 字 [2007] 10 号 ) 。 
3) 《信息 系统 通用 安全 技术 要 求 》(GB/T 20271 一 2006) 。 

4) 《信息 系统 等 级 保护 安全 设计 技术 要 求 》( 信 安 秘 字 [2009] 059 ) 。 
5) 《信息 系统 安全 管理 要 求 》(GB/T 20269 一 2006) 。 

6) 《信息 系统 安全 工程 管理 要 求 》(GBZT 20282 一 2006 ) 。 

7)《 信 息 系统 物理 安全 技术 要 求 》( GB/T 21052 一 2007 ) 。 

8)《 网 络 基础 安全 技术 要 求 》(GB/T 20270 一 2006 ) 。 
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9) 《信息 系统 安全 等 级 保护 体系 框架 》 (GAZT 708 一 2007 ) 。 
10) 《信息 系统 安全 等 级 保护 基本 模型 》) (GA/T 709 一 2007) 。 
11 ) 《信息 系统 安全 等 级 保护 基本 配置 》(GAZT 710 一 2007) 。 
(3) 其 他 类 标准 

1) 《信息 安全 风险 评估 规范 》(GBZT 20984 一 2007 ) 。 

2) 《信息 安全 事件 管理 指南 》(GBZZ 20985 一 2007 ) 。 

3)《 信 息 安全 事件 分 类 分 级 指南 》( GB/Z 20986 一 2007 ) 。 
4)《 信 息 系统 灾难 恢复 规范 》 (GB/T 20988 一 2007 ) 。 

(4) 信息 安全 框架 

1) 开放 系统 安全 框架 (ISO/IEC 10181-1)。 

2) 鉴别 框架 (ISO/IEC 10181-2) 。 

3) 访问 控制 框架 (ISO/IEC 10181-3)。 

4) 抗 抵赖 框架 (ISOZIEC 10181-4) 。 

5) 完整 性 框架 (ISO/IEC 10181-5) 。 

6) 保密 性 框架 (ISOZIEC 10181-6) 。 

7) 安全 审计 框架 (ISO/IEC 10181-7) 。 

8) 管理 框架 (ISO/IEC 7498-4) 。 

9) 安全 保证 框架 (ISO/IEC WD 15443 : 1999 ) 。 


8.2.3 信息 安全 建设 包含 的 内 容 


言 息 安全 建设 与 信息 安全 规划 息息相关 ， 信 息 安全 建设 使 得 信息 安全 规划 得 以 落 
实 ， 因 此 信息 安全 建设 必须 沿 着 信息 安全 规划 的 指引 方向 前 进 ， 而 对 信息 安全 建设 结果 
的 检验 又 反 过 来 形成 下 一 轮 信 息 安全 规划 的 输入 。 信 息 安 全 规划 包括 信息 安全 战略 规 
划 、 信 息 安全 体系 规划 和 信息 安全 重要 内 容 规划 。 与 之 相应 ， 信 息 安全 建设 有 信息 安全 
体系 建设 和 信息 安全 项 目 建 设 两 种 形式 ， 它 们 对 信息 安全 管理 体系 规划 和 信息 安全 重要 
内 容 规 划 形 成 支撑 ， 从 而 最 终 对 信息 安全 战略 规划 起 到 支撑 和 落地 的 作用 。 需 要 注意 的 
是 ,信息 安全 管理 体系 规划 和 信息 安全 重要 内 容 规 划 都 可 能 形成 具体 的 项 目 ， 因 此 信息 
安全 项 目 建 设 可 以 对 信息 安全 管理 体系 规划 和 信息 安全 重要 内 容 规划 形成 支撑 。 其 相互 
关系 见 图 8-3。 


8. 2.4 信息 安全 管理 体系 建设 


言 息 安全 管理 体系 的 建设 根据 不 同 银行 自身 特点 ， 会 有 所 不 同 。 都 需要 根据 信息 安 
全 管理 体系 的 规划 ， 结 合 国际 国内 相关 标准 进行 具体 的 落地 实施 。 信 息 安全 管理 体系 的 
建设 可 参考 本 文 对 信息 安全 管理 体系 的 模块 化 划分 进行 。 在 进行 具体 信息 安全 管理 体系 
建设 时 ， 特 别 要 注意 以 下 几 点 。 
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信息 安全 规划 


信息 安全 管理 2 信息 安全 重要 
体系 规划 R 内 容 规 划 

雪 息 安全 建设 信息 安全 管理 信息 安 0 信息 安全 项目 

信息 安 人 建设 和 全 建设 建设 


图 8-3 ”信息 安全 建设 对 信息 安全 规划 的 支撑 


1 有效 融合 ， 固 化 标准 ， 确 保 体系 的 持续 改进 

言 息 安全 管理 体系 的 落实 需要 结合 国际 国内 标准 特别 是 银行 业 相 关 标 准 。 在 应 用 这 
些 成 熟 标准 过 程 中 ,一定 要 从 深层 次 全 局 性 理解 这 些 标准 理念 人 手 ， 将 这 些 先进 理念 应 
用 到 银行 日 常 管理 实践 中 去 ， 做 到 与 行内 原 有 架构 、 流 程 的 有 机 融合 ， 通 过 标准 进行 固 
化 ; 同时 在 体系 运行 过 程 中 ， 要 遵循 持续 改进 (PDCA) 的 理念 。 结 合 内 外 部 环境 变 
化 、 政 策 要 求 、 业 务 变 革 、 产 品 创新 等 内 容 ， 持 续 开展 差距 分 析 、 风 险 评 佑 、 有 效 性 测 
量 等 工作 ， 不 断 纠 正 存在 的 偏差 ， 才 能 确保 信息 安全 管理 体系 的 有 效 运作 ， 逐 步 提升 信 
息 安 全 整体 保障 能 

2. 建立 流程 ， 明 确 要求 ， 强 化 体系 执行 效果 

言 息 安全 的 产生 大 都 源 于 未 严格 执行 已 有 的 制度 和 标准 ， 即 使 再 先进 的 管理 体系 标 
准 ， 再 完善 的 制度 要 求 ， 若 不 能 执行 落地 都 将 形同虚设 。 因 此 ， 在 体系 的 建立 过 程 中 ， 
要 针对 与 最 佳 实践 的 差距 分 析 ， 结 合 当前 的 组 织 架 构 ， 选 定 符合 实际 的 控制 措施 ， 建 立 
职责 明确 的 管理 流程 ， 确 保 其 可 操作 性 ; 在 体系 建立 之 后 ， 还 要 强化 制度 的 执行 ， 加 大 
监督 检查 力度 和 责任 追究 ， 通 过 持续 教育 培训 引导 员工 从 被 动 的 风险 应 对 变 为 积极 主动 
的 风险 防范 ， 同 时 ， 还 应 建立 完善 信息 安全 事件 管理 机 制 ， 及 时 报告 、 响 应 、 跟 踪 、 分 
析 各 类 信息 安全 风险 事件 ， 最 大 限度 地 降低 信息 安全 风险 带 来 的 损失 。 

3. 自 上 而 下 ， 全 员 参 与 ， 建 立信 息 安全 文化 

言 息 安全 涉及 各 个 条 线 、 各 个 岗位 、 各 个 业务 流程 。 在 建立 信息 安全 管理 体系 过 程 
中 ， 首 先 要 开展 顶层 设计 ， 明 确保 护 的 对 象 、 安 全 等 级 分 类 、 差 异化 安全 保护 策略 等 。 
进而 明确 各 部 门 及 员工 的 职责 ,采用 自 上 而 下 的 推进 方法 ,组 织 和 动员 全 体 员 工 共同 参 
与 该 项 工作 。 尤 其 是 在 资产 识别 和 风险 评估 阶段 ， 更 离 不 开 全 体 员工 的 努力 。 通 过 有 效 
的 教育 和 培训 ， 逐步 建立 和 发 展 信 息 安全 管理 文化 ， 提 高 和 强化 员工 的 信息 保护 护 的 意 
识 与 能 力 。 


8. 2.5 信息 安全 项 目 建 设 


信息 安全 规划 的 结果 ， 往 往 会 形成 一 些 具 体 的 项 目 以 支撑 规划 的 落实 ， 包 括 单独 的 
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信息 安全 项 目 及 在 进行 其 他 信息 技术 项 目 时 对 信息 安全 的 落实 (图 8-4)。 


信息 安全 
战略 规划 


信息 安全 规划 


信息 安全 信息 安全 
管理 体系 规划 重要 内 容 规 划 


全 管 系 乡 
下 变更 


移动 


| 
妥 至 管理 核心 系统 】 [ CRM 了 RE 条 颖 
平 性 千 杀 


独立 信息 安全 项 目 与 信息 科技 项 目 相关 


图 8-4 信息 安全 建设 对 信息 安全 规划 的 支撑 


不 管 是 哪 种 情形 ， 都 可 以 基于 信息 技术 项 目的 生命 周期 对 信息 安全 项 目 加 以 管理 。 
该 过 程 包括 信息 安全 需求 分 析 、 安 全 方案 设计 、 产 品 采购 和 使 用 、 自 行 软件 开发 、 外 包 
软件 开发 、 工 程 实施 、 测 试验 收 、 系 统 交 付 及 安全 服务 商 选 择 等 阶段 。 

1. 信息 安全 需求 分 析 

言 息 技术 项 目 建设 初期 ， 在 考虑 功能 需求 、 性 能 需求 时 ， 还 需 考 虑 信息 安全 需求 。 
虽然 不 同 项 目 安全 需求 不 尽 相 同 ， 但 都 会 考虑 本 项 目的 一 些 基 本 安全 需求 : 身份 鉴别 、 
完整 性 、 抗 抵赖 、 机 密 性 、 可 用 性 及 授权 。 以 下 是 一 个 银行 应 用 系统 的 安全 需求 。 

(1) 身份 鉴别 ”需求 分 析 说 明 书 中 系统 服务 面向 的 用 户 群 体 及 数量 是 否 明确 ， 用 
户 的 分 类 情况 ， 用 户 重 要 性 级 别 是 否 明确 。 

(2) 完整 性 ”业务 是 否 与 行 外 机 构 存 在 数据 交互 情况 ,数据 的 重要 性 和 传输 差错 
率 的 容忍 度 是 否 明确 。 

(3) 抗 抵赖 ”是否 明 确 数据 传输 过 程 中 会 面临 哪些 情况 ， 导 致 数据 发 送 方 否 认 发 
出 数据 ; 是 否 明确 数据 传输 过 程 中 会 面临 哪些 情况 ， 导 致 数据 接收 方 否认 接收 到 数据 。 

(4) 机 密 性 是否 明确 存在 什么 样 的 交易 数据 ; 传输 的 数据 是 否 需要 加 密 ; 数据 
是 否 需 要 加 密 存储 。 

(5) 可 用 性 是否 需 要 7 x24 提供 服务 ; 容错 、 容 量 、 灾 备 的 情况 如 何 。 

(6) 授权 是 否 需 要 面向 互联 网 提供 服务 ， 是 否 需 要 面向 办 公 提 供 服 务 。 

2. 安全 方案 设计 

根据 项 目的 安全 保护 需求 选择 基本 安全 措施 ， 并 依据 风险 分 析 的 结果 补充 和 调整 安 
92 


信息 安全 规划 与 建设 | 第 8 章 | 


全 措施 ， 对 信息 系统 的 安全 建设 进行 总 体 设计 。 根 据 信 息 系统 实际 情况 ， 统 一 考虑 安全 
保障 体系 的 总 体 安全 策略 、 安 全 技术 框架 、 安 全 管理 策略 、 总 体 建设 规划 和 详细 设计 方 
案 ， 并 形成 配套 文件 。 

3. 产品 采购 和 使 用 

对 于 信息 技术 项 目 建设 ,通常 会 进行 产品 采购 和 使 用 ， 为 了 确保 安全 ， 应 注意 : 

1) 确保 安全 产品 采购 和 使 用 符合 国家 的 有 关 规 定 。 

2) 确保 密码 产品 采购 和 使 用 符合 国家 密码 主管 部 门 的 要 求 。 

3) 预先 对 产品 进行 选 型 测试 ， 确 定 产品 的 候选 范围 ， 并 定期 审定 和 更 新 候选 产品 
名 单 。 

4. 自行 软件 开发 

对 于 信息 技术 项 目 中 自行 软件 开发 的 情形 ， 需 要 加 强 信息 安全 保障 工作 ， 主 要 包括 ， 

1) 应 确保 开发 环境 与 实际 运行 环境 物理 分 开 ， 开 发 人 员 和 测试 人 员 分 离 ， 测 试 数 
据 和 测试 结果 受到 控制 。 

2) 应 制定 软件 开发 管理 制度 ， 明 确 说 明 开发 过 程 的 控制 方法 和 人 员 行为 准则 。 

3) 应 制定 代码 编写 安全 规范 ， 要 求 开 发 人 员 参 照 规范 编写 代码 。 

4) 应 确保 提供 软件 设计 的 相关 文档 和 使 用 指南 ， 并 由 专人 负责 保管 。 

5) 应 确保 对 程序 资源 库 的 修改 、 更 新 、 发 布 进行 授权 和 批准 。 

5. 外 包 软 件 开 发 

对 于 信息 技术 项 目 中 自行 软件 开发 的 情形 ,需要 加 强 信息 安 全 保障 工作 ， 主 要 包括 : 

1) 应 根据 开发 需求 检测 软件 质量 。 

2) 应 在 软件 安装 之 前 检测 软件 包 中 可 能 存在 的 恶意 代码 。 

3) 应 要 求 开发 单位 提供 软件 设计 的 相关 文档 和 使 用 指南 。 

4) 应 要 求 开 发 单位 提供 软件 源 代 码 ， 并 审查 软件 中 可 能 存在 的 后 门 。 

6. 测试 验收 

为 了 保证 信息 技术 项 目的 安全 性 ， 客 观 地 了 解 信 息 技术 项 目的 安全 状况 ， 需 要 根据 
害 息 技术 项 目 实际 情况 进行 安全 测试 ， 具 体 包括 : 

1) 应 委托 公正 的 第 三 方 测试 单位 对 系统 进行 安全 性 测试 ， 并 出 具 安 全 性 测试 
报告 。 

2) 在 测试 验收 前 应 根据 设计 方案 或 合同 要 求 等 制定 测试 验收 方案 ; 在 测试 验收 过 
程 中 应 详细 记录 测试 验收 结果 ， 并 形成 测试 验收 报告 。 

3) 应 对 系统 测试 验收 的 控制 方法 和 人 员 行 为 准则 进行 书面 规定 。 

4) 应 指定 或 授权 专门 的 部 门 负责 系统 测试 验收 的 管理 ， 并 按照 管理 规定 的 要 求 完 
成 系统 测试 验收 工作 。 

5) 应 组 织 相关 部 门 和 相关 人 员 对 系统 测试 验收 报告 进行 审定 ， 并 签字 确认 。 

7. 系统 交付 

测试 验收 通过 后 ， 信 息 技术 项 目 将 进入 交付 运行 阶段 ， 此 时 的 安全 要 求 包括 : 
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1) 应 制定 详细 的 系统 交付 清单 ， 并 根据 交付 清单 对 所 交接 的 设备 、 软 件 和 文档 等 
进行 清点 。 

2) 应 对 负责 系统 运行 维护 的 技术 人 员 进 行 相 应 的 技能 培训 。 

3) 应 确保 提供 系统 建设 过 程 中 的 文档 和 指导 用 户 进行 系统 运行 维护 的 文档 。 

4) 应 对 系统 交付 的 控制 方法 和 人 员 行 为 准则 进行 书面 规定 。 

5) 应 指定 或 授权 专门 的 部 门 负责 系统 交付 的 管理 工作 ， 并 按照 管理 规定 的 要 求 完 
成 系统 交付 工作 。 


8.3 案例 介绍 : 某 股 份 制 商业 银行 信息 安全 规划 实例 


随 着 互联 网 金融 和 信息 化 技术 的 快速 发 展 ， 我 国 商业 银行 在 网 上 银行 、 电 子 商 务 、 
电子 支付 工具 等 新 的 服务 模式 上 正在 发 生 着 深刻 的 变化 。 如 何 进一步 提高 商业 银行 信息 
安全 防护 的 能 力 和 水 平 ， 保 障 其 银行 业务 稳健 发 展 ， 是 信息 安全 工作 面前 的 迫切 任务 。 
为 此 ， 茶 股份 制 商业 银行 (以 下 简称 A 行 ) 制定 了 2015 一 2019 年 信息 安全 规划 。 


8.3.1 概述 


随 着 信息 化 技术 的 不 断 深入 ， 应 用 水 平 的 不 断 提高 ，A 行 对 信息 安全 的 要 求 也 将 越 
来 越 高 ， 如 何 确保 关键 和 重要 信息 系统 长 期 稳定 运行 ， 如 何 防止 重要 信息 数据 泄漏 ， 如 
何 避免 信息 安全 事件 对 A 行 声 誉 风险 、 操 作风 险 和 经 营 风 险 造成 严重 影响 ,是 目前 A 
行 信息 安全 工作 面临 的 严峻 威胁 和 挑战 。 如 何 进一步 提高 A 行 信息 安全 保障 能 力 和 水 
平 ， 保 障 A 行业 务 发 展 和 快速 转型 ， 是 信息 安全 工作 面前 的 迫切 任务 。 

为 完善 A 行 信息 安全 总 体 保 障 框架 ， 促 进 A 行 信息 技术 持续 健康 发 展 ， 特 制定 本 
规划 。 


8.3.2 A 行 信息 安全 现状 


A 行 科技 开发 部 历来 高 度 重视 信息 安全 工作 ， 为 了 不 断 应 对 来 自 互联 网 的 各 种 攻击 
和 探测 行为 ， 基 于 纵深 防御 思想 ，A 行经 多 年 建设 ， 在 安全 基础 设施 建设 、 系 统 安全 评 
估 、 安 全 加 固 和 信息 安全 事件 预防 处 置 能 力 等 方面 逐年 加 强 ， 各 项 安全 保障 措施 到 位 ， 
具体 内 容 包括 : 

1) 对 全 行 网 络 进行 了 严格 的 安全 域 划 分 ， 实 现 信息 资源 的 访问 控制 ， 强 化 网 络 安 
全 区 域 间 的 访问 控制 ， 建立 了 全 行 性 的 网 络 应 用 流量 监控 系统 ， 实 现 全 行 集中 /分 布 式 
的 网 络 层 协议 安全 监控 系统 。 

2) 建立 了 全 行 性 网 络 人 侵 防 护 系 统 ， 实 时 监测 、 阻 断 各 种 异常 及 攻击 行为 ;建立 
了 全 行 网 络 层 安全 内 容 审计 系统 ， 与 运营 商 签订 网 络 攻击 防范 专项 保障 服务 ， 可 针对 大 
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流量 网 络 攻击 (如 DDoS、CC 等 ) 进行 流量 清洗 。 

3) 建立 了 覆盖 全 行 的 桌面 管理 系统 和 计算 机 病毒 防治 系统 ， 支 持 办 公 软 件 、 防 病 
毒 软件 等 应 用 软件 的 统一 部 署 和 升级 ; 实现 了 全 行 办 公 终 端 与 互联 网 上 网 终端 的 安全 分 
离 ， 降 低 了 信息 泄露 风险 。 

4) 全 面 实施 生产 运行 和 系统 开发 的 精细 化 安全 管理 ， 从 需求 评审 、 代 码 安全 、 安 
全 测试 和 渗透 测试 等 多 角度 建立 安全 控制 体系 ， 特 别 是 在 移动 互联 网 安全 现状 不 容 乐 观 
的 情况 下 ， 落 实 各 项 安全 技术 要 求 ， 提 高 抵御 移动 互联 网 攻击 的 防护 能 力 ， 提 升 信息 安 
全 工作 对 业务 发 展 的 促进 作用 。 

5) 推进 容 灾 备份 体系 建设 工作 ， 进 一 步 完善 应 急 响应 机 制 和 灾难 备份 中 心 建设 ， 
特别 是 完成 分 行 同城 灾 备 系统 ， 年 内 实现 总 行 灾 备 系统 的 全 业务 覆盖 。 

6) 每 年 聘请 国家 级 安全 测评 机 构 对 三 级 以 上 的 信息 系统 进行 等 级 保护 和 风险 评估 
工作 ， 每 周 对 互联 网 应 用 系统 进行 安全 漏洞 扫描 ， 每 季度 进行 远程 渗透 测试 等 工作 。 

7) 在 国 密 算法 、 量 子 保密 、 安 全 芯片 等 方向 进行 研发 及 改造 工作 ， 逐 步 扩大 安全 
密码 体系 的 应 用 范围 ， 依 托 安全 芯片 的 内 骨 技 术 ， 形 成 A 行 设 备 的 安全 标识 体系 ， 大 
力 发 展 移动 终端 安全 解决 方案 的 应 用 及 推广 。 

8) 逐年 完善 信息 安全 管理 制度 体系 ， 提 高 制度 编制 质量 ， 强 化 制度 执行 力度 ， 进 
一 步 提升 信息 安全 管理 标准 化 、 规 范 化 水 平 。 

长 期 运行 实践 表明 ， 上 述 安 全 防线 有 效 抵 御 了 来 自 各 个 方面 的 威胁 和 攻击 ， 不 仅 技 
术 完 整 性 好 ， 而 且 满 足 了 国家 和 行业 监管 部 门 的 各 项 合 规 性 要 求 。 


8.3.3 A 行当 前 面临 的 主要 风险 


随 着 信息 技术 的 不 断 发 展 ， 新 型 网 络 攻击 层出不穷 ， 技 术 不 断 翻 新 ，A 行 的 信息 科 
技 系统 所 面临 的 安全 威胁 也 更 加 复杂 ， 并 呈现 出 安全 管理 的 多 样 化 和 复杂 化 趋势 。 与 此 
同时 ， 国 家 、 央 行 和 监管 部 门 也 对 信息 系统 的 安全 、 内 控 和 审计 提出 了 更 高 的 要 求 ， 不 
断 增 强 的 业务 连续 性 需求 也 对 网 络 安全 提出 了 严峻 的 挑战 。A 行 信息 系统 当前 面临 的 主 
要 风险 和 威胁 如 下 : 

1) 来 自 互联 网 的 恶意 攻击 威胁 依然 很 大 。 目 前 ，A 行 主要 的 安全 威胁 依然 是 来 自 
互联 网 的 恶意 网 络 攻击 。 网 上 银行 、 手 机 银行 更 是 攻击 的 重点 目标 。 随 着 A 行 在 移动 
互联 网 不 断 开发 新 的 业务 种 类 ， 移 动作 业 模 式 更 是 带 来 了 新 的 安全 威胁 ， 包括 人 员 管 理 
的 风险 、 数 据 安全 的 风险 、 保 护 隐私 的 法 律 风 险 、 黑 客 攻击 的 风险 等 诸多 方面 。 

2) 信息 科技 服务 的 外 包 风 险 依然 存在 。 除 生产 系统 运 维 外 ，A 行 大 部 分 信息 系统 
的 开发 和 技术 支撑 工作 通过 外 包 开 展 ， 存 在 一 定 的 外 包 人 员 主 动 或 被 动 泄漏 敏感 信息 的 
风险 。 

3) 操作 风险 对 信息 系统 的 影响 依然 较 大 。A 行 新 核心 系统 上 线 后 ， 系 统 之 间 的 耦 
合 性 变 得 越发 紧密 ， 一 个 信息 系统 出 现 故障 可 能 会 引起 其 他 相关 模块 出 现 新 的 问题 。 随 
着 A 行 新 业务 系统 建设 的 不 断 投产 ， 运 维 人 员 的 增加 也 会 带 来 一 定 的 操作 风险 。 
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A 行 通过 多 年 的 信息 安全 建设 工作 ,已 经 建立 了 较为 完整 的 信息 安全 技术 体系 ， 形 
成 了 注重 可 操作 性 的 、 完 整 的 信息 安全 防御 机 制 ， 实 行 了 基于 国家 政策 要 求 的 信息 安全 
等 级 管理 制度 ， 并 通过 安全 基础 设施 建设 和 综合 性 安全 技术 措施 构建 了 完善 的 安全 技术 
防护 体系 。 但 随 着 互联 网 技术 的 广泛 应 用 ， 新 应 用 和 新 技术 的 大 量 涌现 、 软 件 系统 中 存 
在 的 安全 漏洞 、 网 络 和 应 用 协议 中 国有 的 安全 缺陷 ， 以 及 黑客 攻击 技术 发 展 和 有 组 织 网 
络 入侵 活动 的 日 益 活 跃 ， 都 时 刻 威胁 着 A 行 信息 系统 的 健康 稳定 发 展 。A 行 必须 主动 
适应 互联 网 和 安全 环境 变化 ， 准 确 把 握 银 行业 务 和 信息 安全 技术 发 展 趋势 ， 有 效 化 解 各 
类 信息 安全 风险 ， 完 善信 息 安全 防护 体系 ， 大 幅 提升 信息 系统 抵御 风险 和 防 控 的 能 


8. 3.4 A 行 信息 安全 规划 内 容 


A 行 根据 实际 情况 ， 本 着 以 安全 保 发 展 、 以 发 展 促 安 全 的 指导 思想 ， 需 进一步 加 强 
言 息 安全 工作 的 统筹 规划 能 力 ， 进 一 步 明 确信 息 安全 工作 的 责任 和 关系 ， 逐 步 建立 起 技 
术 、 管 理 和 运营 等 多 层次 的 信息 安全 技术 体系 ， 完 善 策略 、 制 度 、 规 范 等 安全 要 素 ， 适 
度 安 全 ， 注 重 实效 ， 合 理 推 进 信息 安全 管理 体系 建设 。 

1. 信息 安全 总 体 规划 设计 原则 

为 落实 好 信息 安全 保障 工作 ，A 行 信息 安全 的 总 体 规划 及 建设 将 遵循 以 下 原则 : 

1) 统筹 规划 ， 联 动 协调 。 从 全 行 信息 安全 保障 的 总 体高 度 出 发 ， 系 统 规划 和 建设 
A 行 信 息 安 全 技术 体系 ， 同 时 明确 各 部 门 、 各 分 行 等 相关 单位 的 安全 责任 ， 加 强 横向 沟 
通 和 协调 ， 指 导 全 行 建立 联动 协调 的 安全 防范 和 响应 机 制 。 

2) 资源 共享 ， 注 重 实效 。 要 从 A 行 信 息 安全 的 实际 情况 出 发 ， 综 合 平衡 安全 成 本 
与 风险 ， 优 化 信息 安全 资源 配置 ， 适 度 安 全 ， 注 重 实效 ， 合 理 进 行 信 息 安 全 体系 建设 。 

3) 分 级 保护 ， 罕 出 重点 。 落 实 信息 安全 等 级 保护 国策 ， 大 力 推进 信息 安全 等 级 保 
护 建设 ; 根据 信息 系统 应 用 业务 的 重要 程度 及 实际 安全 需求 ， 实 行 分 级 、 分 类 、 分 阶段 
保护 ; 加 强 对 A 行 重要 信息 系统 的 日 常 检查 力度 ， 保 障 信息 安全 和 系统 安全 正常 运行 ， 
维护 国家 金融 安全 。 

4) 广泛 参与 ， 齐 管 共 建 。 信 息 安全 是 一 项 全 员 参 与 的 系统 工程 ， 通 过 各 种 手段 宣 
传 和 普及 信息 安全 意识 及 常识 ,广泛 组 织 和 动员 全 行 共同 参与 信息 安全 技术 体系 建设 
工作 。 

2. 信息 安全 规划 总 体 目标 

本 次 信息 安全 规划 的 总 体 目 标 是 : 形成 与 A 行 信息 化 发 展 规划 相配 套 、 与 业务 发 
展 目标 相 适 应 的 信息 安全 管理 体系 ,保障 A 行 软件 开发 、 生 产 运 行 、 网 络 建设 全 生命 
周期 的 信息 安全 ， 确 保 各 类 信息 安全 技术 机 制 与 措施 健全 和 完善 ， 全 行 信息 安全 意识 和 
基本 防范 能 力 进 一 步 提高 ， 为 A 行 信息 科技 稳定 发 展 提供 有 效 的 信息 安全 技术 。 

3. 信息 安全 规划 蓝图 

为 确保 本 次 信息 安全 规划 总 体 目 标的 顺利 达成 ， 特 拟定 了 A 行 分 阶段 的 发 展 蓝图 : 


96 


信息 安全 规划 与 建设 | 第 8 章 | 


1) 2015 一 2016 年 为 信息 安全 技术 体系 全 面 建立 阶段 。 在 这 一 年 当中 ，A 行将 完成 
各 项 信息 安全 基础 设施 和 平台 化 建设 工作 ， 同 时 各 分 行 的 信息 安全 技术 体系 建设 也 基本 
到 位 ， 初 步 形成 具有 主动 防御 能 力 的 信息 安全 技术 体系 。 

2) 2017 一 2018 年 为 信息 安全 管理 体系 整合 阶段 。 在 这 一 年 当中 ，A 行将 对 前 一 阶 
段 完成 的 信息 安全 基础 做 进一步 修改 和 完善 ， 通 过 各 项 信息 安全 运营 机 制 和 管理 制度 ， 
提高 信息 安全 的 整体 防御 能 力 ， 全 面 建成 较为 完善 的 信息 安全 管理 体系 。 

3) 2019 年 为 A 行 信息 安全 持续 改进 阶段 。 通 过 上 述 两 阶段 的 建设 工作 ， 确保 A 
行 所 有 信息 系统 应 全 面 达 到 整体 安全 防护 要 求 ， 服 务 好 A 行 各 项 信息 科技 发 展 的 需求 ， 
为 实现 业务 发 展 战略 提供 坚实 的 信息 安全 技术 支撑 和 管理 控制 ， 为 信息 安全 下 一 次 规划 
打 好 坚实 基础 。 

4. 信息 安全 典型 系统 规划 

为 实现 A 行 信息 安全 总 体 目标 ,确保 信息 安全 任务 得 以 落实 ，A 行 在 2015 一 2019 
年 期 间 的 信息 安全 建设 包括 了 下 述 主要 信息 安全 系统 和 体系 的 建设 。 

1) 风险 可 视 化 预警 平台 。 安 全 管理 最 大 的 问题 是 不 知道 问题 在 哪里 ， 何 处 不 安 
全 ， 以 及 对 安全 事件 演变 的 趋势 判断 。 风 险 可 视 化 预警 平台 的 建设 目标 就 是 通过 对 大 量 
业务 系统 、 安 全 设备 、 网 络 设备 所 产生 的 海量 数据 进行 采集 和 分 析 ， 以 及 根据 历史 发 生 
事件 的 数据 挖掘 和 趋势 判断 ， 从 各 种 单一 的 安全 事件 向 统一 的 关联 分 析 过 渡 ， 实 现 面 向 
业务 的 安全 监控 ， 主 动 发 现 网 络 和 操作 异常 行为 ， 加 强 应 急 措 施 和 应 对 能 力 ， 及 时 阻止 
各 类 违规 行为 的 发 生 ， 综 合 研判 信息 安全 事件 所 产生 的 影响 ， 并 为 A 行 战略 规划 和 战 
略 决策 提供 必要 的 依据 及 参考 。 

通过 风险 可 视 化 预警 平台 的 建设 ， 有 效 覆 盖 总 行 和 30 多 家 分 行 的 生产 网 络 、 办 公 
网 络 和 互联 网 络 区 域 ， 对 A 行 现 有 网 络 中 部 署 的 网 络 设备 〈 如 路 由 器 、 交 换 机 ) 、 安 全 
设备 〈 防 火 墙 、IDS、 漏 洞 扫 描 ) 、 业 务 服 务 器 等 所 有 设备 产生 的 日 志 进 行 统一 的 采集 
和 甄别 ， 以 及 对 全 网 数据 流 和 网 络 行为 的 过 滤 和 分 析 ， 并 通过 可 定义 的 事件 对 象 和 类 
型 ， 将 所 有 设备 产生 的 安全 事件 加 以 关联 分 析 ， 最 终 得 出 当前 信息 安全 的 总 体态 势 。 安 
全 人 员 将 这 些 网 络 和 日 志 信 息 组 合 到 一 个 可 重用 的 和 标准 化 的 数据 框架 ， 能 够 获得 全 面 
的 风险 态势 感知 能 力 ， 并 迅速 而 有 效 地 应 对 各 类 未 知 的 高 级 威胁 。 

2) 数据 防 泄密 平台 。A 行 目 前 已 经 建成 了 较为 完善 的 信息 科技 系统 ， 如 核心 业务 
系统 、 客 户 信息 管理 系统 、 办 公 系 统 、 财 务 系统 ， 这 些 系统 的 数据 主要 集中 存储 在 数据 
库 中 。 但 在 实际 工作 过 程 中 仍 有 部 分 资料 散落 在 员工 的 计算 机 设备 上 ， 有 时 需要 对 系统 
中 的 数据 进行 再 加 工 ， 这 些 都 不 可 避免 的 导致 在 员工 的 计算 机 设备 上 存储 敏感 数据 ， 安 
全 风险 较 高 ， 容 易 出 现 丢 失 、 汇 露 、 病 毒 损 坏 、 非 法 获取 等 情况 。 同 时 ，A 行 员工 也 多 
需要 回 家 处 理 各 类 遗留 的 工作 ， 这 也 会 存在 将 关键 或 敏感 信息 数据 泄漏 到 外 部 的 风险 。 

为 此 ，A 行 数据 防 泄密 平台 将 采取 “ 隔 、 审 、 密 ”的 机 制 来 确保 数据 全 生命 周期 
的 安全 ， 本 项 目 所 需 技 术 手段 包括 安全 桌面 、 文 档 加 密 及 授权 管理 、 文 件 集中 存储 管 
理 、 计 算 机 硬盘 加 密 四 类 。 在 建设 数据 防 泄密 安全 保护 体系 的 过 程 中 ， 将 从 在 线 数据 、 
在 线 一 离线 转化 、 离 线 数 据 三 个 方面 着 手 建设 全 流程 的 数据 安全 防护 体系 ， 建 成 贯穿 数 
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据 产生 、 存 储 、 传 递 、 使 用 、 销 毁 全 流程 的 数据 安全 防护 体系 。 

3) 密码 技术 应 用 平台 。 依 托 新 核心 系统 再 造 项 目 ，A 行 密 码 技术 应 用 平台 已 经 初 
具 规 模 ， 它 不 仅仅 是 一 个 产品 或 系统 的 建设 ， 更 是 一 个 安全 体系 和 应 用 安全 架构 的 建 
设 。 目 前 A 行 密码 技术 应 用 平台 已 经 初步 建成 ， 构 建 起 了 安全 基础 设施 平台 、 用 户 安 
全 平台 及 客户 安全 平台 等 三 大 技术 支撑 平台 ， 目 前 正在 不 断 完 善 和 优化 当中 。 

其 中 ， 安 全 基础 设施 平台 是 基础 并 支撑 后 两 个 平台 ,包括 安全 的 基础 服务 、 安 全 设 
备 及 密 钥 服 务 等 ， 用 户 安全 平台 则 侧重 服务 于 行内 员工 为 用 户 的 各 类 应 用 系统 ， 主 要 提 
供 对 用 户 的 标识 管理 、 认 证 支撑 功能 ; 而 客户 安全 平台 则 主要 服务 于 银行 客户 为 用 户 的 
应 用 系统 ， 如 网 络 银行 系统 、 电 话 银行 系统 等 。 用 户 安全 平台 和 客户 安全 平台 具有 许多 
相似 性 ， 但 主要 差别 在 于 服务 于 不 同 用户 对 象 。 目 前 客户 安全 平台 已 经 建成 了 支持 多 种 
安全 机 制 和 认证 方式 的 综合 认证 系统 ， 包 括 IC 卡 功能 支持 、OTP 认证 支持 、PKI 证 书 
认证 支持 、 手 机 认证 码 支持 、 密 码 认 证 支持 等 。 其 中 ，fIC 卡 密 钥 管理 系统 、 数 据 准 备 
系统 、OTP 密 钥 管理 系统 等 已 经 初 具 规模 ， 后 续 进 行 适应 性 改造 ， 扩 展 对 国有 算法 
(SM2/SM3/SM4) 的 支持 ， 以 及 对 新 型 金融 支付 工具 的 管理 功能 ， 可 快速 地 提供 相关 安 
全 服务 ,确保 新 型 金融 支付 工具 的 安全 性 、 保 证 在 交易 过 程 中 遵循 相关 安全 技术 标准 和 
规范 。 

密码 技术 是 信息 安全 核心 要 素 ， 密 码 技 术 的 应 用 是 一 个 循序 渐进 的 过 程 ， 其 建设 目 
标 是 服务 好 业务 发 展 、 服 务 好 信息 安全 。A 行 一 直 非 常 重视 国产 自主 知识 产权 密码 技术 
的 应 用 ,不断 推 进 国产 密码 算法 应 用 工作 和 试点 示范 项 目 ， 积 极 创 新 新 型 金融 支付 
工具 。 

4) 安全 基础 设施 。 信 息 安全 基础 设施 具有 投资 规模 大 、 技 术 要 求 高 的 特点 ， 为 达 
到 资源 共享 、 合 理 投 资 的 目的 ， 信 息 科技 部 规划 建立 和 完善 包括 主动 恶意 代码 检测 、 防 
DDoS 攻击 、 全 局 人 侵 检 测 及 监控 、 安 全 事件 响应 和 跟踪 在 内 的 全 行 性 信息 安全 基础 防 
御 体 系 ， 建 立 起 履 盖 全 行 的 信息 安全 监控 和 服务 网 络 ， 提 高 基于 内 容 安全 的 监测 分 析 和 
玻 导 处 置 能 力 ， 有 效 控制 不 良 信息 的 扩散 ， 并 通过 统一 、 规 范 的 信息 安全 基础 设施 ， 为 
风险 可 视 化 预警 平台 提供 各 类 信息 安全 基础 数据 单元 。 

5) 移动 智能 终端 安全 管理 系统 。A 行 目前 开发 的 基于 智能 终端 的 应 用 已 经 超过 3 
个 ， 应 用 推广 后 行内 采购 的 移动 设备 数量 将 达到 3000 台 左 右 ， 软 件 开 发 、 设 备 购 置 和 
通信 的 费用 总 额 在 2000 万 人 民 币 以 上 。 目 前 这 些 设备 没有 进行 有 效 的 设备 和 应 用 发 布 
方面 的 安全 管理 ， 手 工 台 账 方式 不 能 做 到 实时 性 和 有 效 性 。 通 过 移动 智能 终端 安全 管理 
系统 的 建设 ， 能 够 对 A 自 购 的 移动 智能 终端 设备 进行 安全 管理 。 

国内 移动 智能 终端 服务 在 迅速 发 展 的 同时 ， 原 先 在 PC 电脑 上 上 演 的 信息 安全 问题 
也 在 移动 终端 上 再 次 发 生 ， 设 备 制造 商 、 网 络 服务 商 、 应 用 服务 提供 商 和 最 终 客户 都 已 
经 意识 到 此 问题 ， 并 且 因为 移动 智能 设备 的 便利 性 和 时 时 在 线 属 性 ， 导 致 其 所 面临 的 信 
息 安全 风险 更 为 严重 。 

A 行 移 动 智 能 终端 安全 管理 系统 建成 后 ， 将 作为 全 行 统一 的 安全 管理 平台 ， 对 总 分 
行 各 条 线 购置 的 智能 设备 和 开发 的 移动 应 用 软件 进行 统一 安全 策略 管理 ， 可 以 监控 到 设 
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备 的 越狱 等 不 合理 使 用 行为 ， 能 够 在 设备 遗失 、 被 次 时 远程 擦 除 关键 应 用 和 数据 ， 能 
实时 控制 移动 设备 开展 业务 的 范围 ， 确 保 A 行 的 移动 金融 业务 合 规 开展 ， 整 体 提升 A 
行 对 移动 智能 终端 的 信息 安全 管控 能 

6) 安全 管理 体系 重 检 与 规划 。2008 年 A 行 通过 信息 安全 管理 体系 规划 咨询 项 目 ， 
逐渐 形成 一 套 较为 完整 的 信息 安全 管理 工作 模式 ， 使 得 信息 安全 各 项 工作 有 序 展 开 。 但 
伴随 信息 安全 技术 的 发 展 和 A 行业 务 发 展 战略 及 科技 战略 的 变化 ， 科 技工 作 将 围绕 全 
面 风险 管理 、 全 面 质量 管理 和 全 面 架 构 管理 展开 ， 现 有 的 信息 安全 管理 体系 已 经 不 能 适 
应 和 满足 管理 变化 的 要 求 ， 同 时 在 信息 安全 实践 工作 中 ， 原 有 体系 也 逐渐 反映 出 一 些 体 
系 设 计 层 面 的 问题 。 

为 应 对 当前 内 外 部 信息 安全 管理 的 挑战 ， 进 一 步 提升 A 行 信息 安全 管理 能 力 ， 信 
息 科 技 计划 启动 信息 安全 管理 体系 重 检 与 规划 项 目 ， 重 检 A 行 现 有 信息 安全 管理 体系 ， 
规划 A 行 未 来 信息 安全 管理 工作 蓝图 。 该 项 目 主要 工作 内 容 有 : 

(DD 全面 重 检 并 完善 现 有 管理 体系 ， 规 划 新 战略 期 的 信息 安全 重点 工作 。 

Q 打造 全 面 科技 风险 管理 向 下 的 信息 安全 管理 工作 机 制 。 

(3) 制定 信息 安全 技术 架构 视图 和 架构 应 用 规范 。 

由 制定 信息 安全 评审 模板 和 实施 流程 。 

(3) 对 信息 安全 重点 领域 ， 如 电子 银行 安全 、 数 据 安 全 等 进行 重点 规划 。 

通过 上 述 工 作 ， 将 逐步 建成 与 A 行当 前 业务 和 科技 战略 发 展 要 求 相 适应 的 信息 安 
全 管理 体系 ， 为 实现 A 行 的 业务 和 信息 技术 的 运行 提供 一 个 安全 稳定 的 发 展 环境 。 
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第 9 草 
信息 安全 监控 与 检查 


基于 信息 安全 管理 体系 PDCA 的 核心 理念 ， 信 息 安全 监控 与 检查 作为 其 中 的 一 个 重 
要 环节 ， 对 银行 是 否 能 够 及 时 识别 信息 安全 风险 、 实 现 信息 安全 工作 的 持续 改进 起 着 至 
关 重 要 的 作用 。 本 章 介 绍 了 银行 业 信息 安全 监控 与 检查 的 主要 关注 点 、 开 展 方式 、 监 控 
与 检查 的 具体 内 容 ， 在 此 基础 上 ， 对 如 何在 银行 信息 安全 管理 过 程 中 利用 监控 和 检查 手 
段 有 效 识别 信息 安全 风险 并 针对 性 地 部 署 管控 措施 进行 了 分 析 。 


9.1 信息 安全 监控 与 检查 概述 


信息 安全 监控 是 指 利用 安全 技术 手段 ， 通 过 实时 监控 网 络 或 主机 活动 ， 监 视 分 析 用 
户 和 系统 的 行为 ， 审 计 系 统 配置 和 漏洞 ， 评 佑 敏感 系统 和 数据 的 完整 性 ， 识 别 攻击 行 
为 ， 对 异常 行为 进行 统计 和 跟踪 ， 识 别 违反 安全 法 规 的 行为 ， 使 用 诱骗 服务 器 记录 黑客 
行为 等 功能 ， 使 安全 管理 员 有 效 地 监视 、 控 制 和 评估 网 络 或 主机 系统 。 信 息 安 全 监控 的 
核心 是 主动 安全 管理 、 积 极 防御 的 思路 ， 通 过 对 观察 到 的 现象 进行 记录 ,分 析 产 生 的 异 
常情 况 ， 以 判断 所 应 采取 的 安全 措施 。 

言 息 安全 检查 与 信息 安全 监控 有 机 结合 ， 是 对 信息 安全 风险 、 信 息 安全 部 署 、 信 息 
安全 的 不 足 和 措施 的 有 效 性 等 进行 综合 检查 ， 从 而 有 效 改 进 信息 安 全 效果 与 效率 的 一 种 
工作 方式 。 信 息 安 全 检查 的 方式 可 以 是 多 种 多 样 的 ， 既 可 以 是 由 信息 安全 执行 团队 自发 
性 的 安全 检查 工作 ， 也 可 以 是 由 信息 安全 管理 团队 发 起 的 系统 化 的 信息 安全 检查 工作 。 
针对 不 同 的 信息 安全 领域 所 采取 的 检测 检查 措施 也 存在 较 大 的 差异 性 ， 既 可 能 是 安全 检 
测 技术 的 应 用 ， 也 可 能 是 安全 管理 措施 的 部 署 等 ， 在 检查 的 执行 周期 上 也 可 以 按照 银行 
实际 的 安全 管理 需求 、 安 全 管理 成 熟 度 来 进行 开展 。 

信息 安全 监控 与 检查 不 应 该 是 孤立 的 ， 与 整体 的 信息 安全 管理 一 样 ， 也 应 该 是 一 个 
持续 管理 、 持 续 改进 的 过 程 ， 通 过 监控 与 检查 过 程 中 及 时 的 识别 风险 ， 并 在 此 基础 上 进 
行 分 析 、 处 置 ， 以 达到 持续 改进 的 目的 。 
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9.2 信息 安全 监控 的 开展 


1. 信息 安全 监控 分 析 与 处 置 

如 图 9-1 所 示 ， 信 息 安全 监控 的 工作 重点 是 关注 威胁 与 事件 ， 通 过 信息 安全 技术 手 
段 的 应 用 ， 关 注 终 端 、 路 由 器 、 交 换 机 、 防 火 墙 、 安 全 传输 平台 、 操 作 系统 、 数 据 库 、 
应 用 系统 等 层面 所 面临 的 威胁 和 事件 ， 识 别 与 分 析 其 所 面临 的 安全 威胁 和 事件 。 信 息 安 
全 的 监控 需要 与 后 续 分 析 处 置 环节 结合 起 来 ， 通 过 与 安全 事件 管理 流程 、 应 急 响 应 流程 
的 对 接 ， 将 安全 监控 管理 切实 地 落地 。 


图 9-1 信息 安全 监控 分 析 与 处 置 


2. 信息 安全 监控 相关 的 技术 手段 

信息 安全 监控 技术 的 发 展 可 以 分 为 单机 时 代 、 互 联网 时 代 、 大 数据 及 云 时 代 。 随 着 
言 息 科技 的 整体 的 发 展 ， 安 全 监控 技术 也 随 之 蓬勃 发 展 ， 体 现 为 更 加 高 效 的 威胁 及 事件 
的 识别 、 分 析 效 率 。 

(1) 单机 时 代 的 典型 安全 监控 技术 ”该 技术 包括 : 

1) 病毒 码 识别 技术 : 计算 机 节点 病毒 识别 。 

2) 漏洞 识别 技术 : 网 络 入 侵 识别 。 

3) 协议 分 析 技 术 : 应 用 协议 分 析 技 术 。 

4) 行为 异常 分 析 技 术 : DDoS 攻击 识别 。 

(2) 互联 网 时 代 的 典型 安全 监控 技术 该 技术 包括 : 

1) 病毒 码 识别 技术 网 关 病 毒 流量 识别 。 

2) 漏洞 识别 技术 : WEB 应 用 攻击 识别 。 
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3) 行为 审计 技术 : 上 网 行为 管理 技术 、 网 络 行为 审计 技术 、 数 据 库 审计 技术 。 

4) 信誉 评估 检测 技术 僵尸 、 钓 鱼 、 垃 圾 邮件 等 云 识别 技术 、 入 侵 诱 骗 分 析 
技术 。 

(3) 大 数据 及 云 时代 的 典型 安全 监控 技术 “该 技术 包括 : 

1) 动态 沙 盒 分 析 技 术 : 虚拟 沙 盒 分 析 技 术 。 

2) 安全 大 数据 关联 分 析 技术 : 综合 全 网 安全 系统 日 志 或 数据 包 的 海量 数据 关联 分 
析 技 术 、 网 络 流量 建 模 分 析 技术 。 

3. 安全 日 志 分 析 在 安全 监控 中 的 重要 作用 

安全 日 志 是 安全 监控 及 后 续 处 置 的 重要 输入 。 目 前 银行 业 对 安全 日 志 分 析 的 技术 应 
用 已 经 日 趋 成 熟 ， 在 市 场 上 也 发 现 有 众多 的 厂家 提供 安全 日 志 分 析 的 解决 方案 。 具 体 的 
关于 安全 日 志 分 析 的 技术 解决 方案 将 在 本 书 的 技术 部 分 与 读者 进行 分 享 ， 但 是 在 进行 技 
术 应 用 的 同时 ， 还 需要 通过 一 系列 的 安全 管理 措施 来 对 安全 日 志 的 分 析 过 程 加 以 规范 与 
管理 ， 具 体 的 内 容 如 下 。 

(1) 安全 日 志 记录 

1) 登录 验证 访问 记录 ， 可 包括 账号 异常 登录 情况 、 口 令 猜 测 情况 等。 

2) 设备 配置 发 生 修改 记录 : 可 包括 办 公 地 址 段 登录 生产 和 测试 网 段 的 网 络 设备 并 
更 改 配置 、 远 程 VPN 用 户 登录 网 络 设备 更 改 配置 等 。 

3) 系统 管理 员 和 系统 操作 者 的 活动 可 包括 非 计 划 时 间 内 的 操作 及 其 他 敏感 操 
作 等 。 

4) 系统 运行 错误 日 志 。 

(2) 安全 日 志 管 理 

1) 需 有 专门 的 空间 存放 日 志 ， 关 键 数据 库 、 操 作 系统 、 网 络 设备 及 安全 设备 的 日 
志 应 尽量 进行 集中 存放 ， 其 他 系统 日 志 在 条 件 允 许 的 情况 下 ， 也 要 进行 集中 存放 。 

2) 合理 设置 日 志文 件 大 小 ， 并 定期 查看 日 志文 件 存储 的 空间 是 否 足够 。 

3) 日 志 的 访问 、 查 看 ， 只 能 由 相关 授权 人 员 完 成 ， 非 授权 人 员 不 得 拥有 对 日 志 的 
操作 权限 日 志 审阅 人 员 应 独立 于 系统 管理 员 。 
4) 应 用 管理 员 必须 经 过 安全 管理 部 门 领导 授权 同意 后 才能 查看 日 志 。 

(3) 安全 日 志 分 析 安全 管理 员 需 熟悉 日 志 的 存放 位 置 ， 具有 日 志 审 阅 的 基本 技 
， 如 能 解读 日 志 内 容 ， 判 断 违规 操作 及 安全 事件 等 。 

(4) 安全 日 志保 护 
1) 日 志 服 务 器 本 身 具备 抗 攻击 能 
2) 所 有 的 系统 收集 过 来 的 日 志 (包括 原始 日 志 ) 必须 保留 超过 限定 的 期 限 。 
3) 应 把 备份 日 志 的 数据 存放 在 安全 区 域 ， 防 止 非 授权 人 员 查 看 、 拷 贝 日 志 
资料 。 

4) 所 有 系统 必须 使 用 统一 的 系统 时 间 ， 以 确保 收集 过 来 的 日 志 是 准确 的 。 
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9.3 信息 安全 检查 的 开展 


9.3.1 信息 安全 检查 的 组 织 


鉴于 为 了 保证 信息 安全 检查 工作 开展 的 系统 性 ， 一 般 在 银行 的 信息 安全 管理 部 门 内 
通过 设置 明确 的 专 岗 负 责 银 行 的 信息 安全 检查 工作 ， 以 保障 其 有 序 开 展 ， 主 要 职责 包括 
言 息 安全 检查 的 规划 、 组 织 协调 、 最 终 检 查 结果 的 沟通 确认 、 检 查 报告 的 编制 及 报告 、 
针对 所 检查 出 的 安全 问题 整改 措施 落实 情况 的 跟踪 。 男 外 ， 在 各 部 门 内 应 配备 相应 安全 
员 (兼职 ) 以 配合 信息 安全 检查 工作 的 开展 。 安 全 员 负 责 检查 其 所 辖 部 门 范 围 内 日 常 
安全 生产 情况 ， 发 现 问题 及 时 督促 整改 。 


9. 3.2 ”上 典型 信息 安全 检查 的 开展 方式 


信息 安全 检查 的 开展 方式 可 以 分 为 各 部 门 自 查 、 信 息 安 全 管理 部 门 针对 信息 安全 的 
例 行 检查 、 抽 查 和 专项 检查 共 4 种 。 其 中 信息 安全 自 查 工作 由 各 部 门 所 设 安全 员 承 担 ， 
在 工作 中 接受 信息 安全 管理 部 门 的 指导 ， 而 其 他 3 种 方式 由 信息 安全 管理 部 门 发 起 。 需 
要 重点 提示 的 是 ， 由 于 银行 业 关 系 到 国计民生 ， 其 安全 运行 情况 往往 相 较 于 其 他 行业 显 
得 更 为 重要 ， 银 行 可 考虑 在 重要 节假日 前 夕 、 重 大 庆典 、 重 要 会 议 前 期 、 生 产 系 统 重大 
变更 前 后 或 根据 生产 运行 需要 进行 的 信息 安全 专项 检查 工作 。 


9.3.3 信息 安全 检查 方式 


以 主动 检测 技术 ， 通 过 评估 、 检 查 、 测 试 等 方式 ， 全 面 及 时 发 现 银行 可 能 存在 的 信 
息 安 全 隐患 。 典 型 的 信息 安全 检查 的 开展 形式 如 下 。 

1. 风险 评估 

基于 风险 评估 对 银行 的 生产 系统 进行 综合 性 安全 测试 ， 全 面 发 现 系统 可 能 存在 的 安 
全 隐患 ， 用 以 评价 系统 的 安全 现状 并 指导 安全 建设 工作 的 开展 。 

2. 渗透 测试 

模拟 真实 黑客 攻击 ， 对 银行 互联 网 服务 系统 进行 安全 健壮 性 测试 ， 发 现 系统 存在 的 
安全 漏洞 和 隐患 ， 并 配合 网 站 安全 监测 项 目 对 银行 互联 网 服务 系统 进行 全 方位 检测 。 

3. 网 站 安全 监测 

对 银行 互联 网 服务 系统 进行 实时 监测 ， 配 合 渗透 测试 项 目 及 时 发 现 系统 挂 马 、 被 黑 
及 暴露 的 安全 隐患 并 进行 处 置 。 
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4. 源 代码 检查 

依据 银行 应 用 系统 安全 开发 相关 标准 、 规 范 、 指 南 对 系统 源 代码 进行 安全 测试 。 

5. 漏洞 扫描 

对 生产 系统 服务 顺 进 行 安全 漏洞 情况 测试 ， 发 现 服务 器 、 数 据 库 、 中 间 件 等 可 能 存 
在 的 安全 漏洞 ， 验 证 “漏洞 通报 ”提交 漏洞 的 补丁 情况 。 

6. 安全 基线 检查 

基于 银行 当前 安全 基线 的 配置 要 求 对 网 络 设备 、 服 务 顺 进行 检查 ， 识 别 不 符合 项 并 
提出 整改 意见 。 

7. 漏洞 定向 通报 

针对 银行 使 用 的 软 硬 件 产 品 提供 最 新 漏洞 信息 及 其 修复 措施 等 ， 以 及 时 发 现 并 排除 
言 息 安全 漏洞 与 隐患 ， 降 低 信 息 安 全 事件 发 生 的 可 能 性 ， 提 高 信息 安全 威胁 应 对 与 风险 
管理 的 能 力 和 水 平 。 

8. 上 线 前 安全 测试 

在 系统 上 线 前 进行 漏洞 扫描 、 基 线 检查 及 安全 规范 合 规 性 检查 。 

9. 专项 安全 检测 

针对 信息 安全 的 某 个 特定 领域 或 特定 系统 进行 的 专项 检测 (如 手机 银行 安全 测试 、 
弱 口 令 检 查 等 ) ， 发 现 特定 领域 可 能 存在 的 安全 漏洞 并 进行 整改 ， 提 高 该 领域 的 安全 防 
护 能 力 和 水 平 。 


9.3.4 信息 安全 检查 内 容 


1. 典型 的 信息 科技 相关 安全 检查 
下 文 对 银行 内 典型 的 信息 科技 相关 的 信息 安全 检查 内 容 进行 了 描述 。 在 具体 实践 过 


程 中 ， 各 银行 可 按照 其 自身 的 信息 安全 管理 信息 科技 建设 的 成 熟 度 对 安全 检查 的 内 容 进 
行 相应 的 调整 。 


(1) 数据 中 心安 全 检查 ”此 部 分 内 容 可 考虑 . 

1) 数据 中 心 及 附属 设施 的 建设 标准 。 

2) 数据 中 心 的 外 部 供电 系统 、 双 UPS 机 组 。 

3) 数据 中 心 内 照明 、 和 生产、 维修 用 电 。 

4) 数据 中 心机 房 环境 温度 、 湿 度 。 

5) 数据 中 心机 房 场地 监控 系统 、 门 禁 保 安 系统 、 紧 急 联 络 系统 及 消防 系统 等 ， 防 
静电 、 防 雷 、 防 电磁 干扰 及 防水 、 防 鼠 害 等 技术 措施 。 

6) 数据 中 心 各 类 设备 的 测试 、 检 修 和 易 损 ( 耗 ) 部 件 更 换 。 

7) 数据 中 心机 房 的 日 常 管理 情况 。 

(2) 主机 设备 安全 检查 ”此 部 分 内 容 可 考虑 : 
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1) 设备 运行 监控 、 维 护 、 故 障 处 理 、 应 急 操作 规程 。 

2) 主机 设备 及 附属 设备 的 保养 及 维护 工作 。 

3) 设备 故障 的 处 理 记录 。 

4) 备份 设备 的 可 靠 性 。 

(3) 操作 系统 安全 检查 ”此 部 分 内 容 可 考虑 : 

1) 超级 用 户 的 管理 情况 。 

2) 系统 管理 员 的 管理 情况 。 

3) 用 户 的 管理 情况 。 

4) 系统 维护 后 的 记录 和 归档 。 

5) 系统 运行 监控 、 维 护 、 变 更 、 应 急 操 作 规 程 。 

6) 系统 运行 故障 应 急 方案 。 

(4) 网 络 系统 安全 检查 ”此 部 分 内 容 可 考虑 : 

1) 重要 计算 机 网 络 的 传输 加 密 、 访 问 控制 、 身 份 (设备 ) 验证 等 安全 措施 。 

2) 生产 网 、 测 试 网 和 办 公 网 之 间 的 安全 控制 和 隔离 措施 。 

3) 与 外 单位 联网 的 安全 控制 和 隔离 措施 。 

4) 与 国际 互联 网 (Internet) 联网 的 安全 控制 和 隔离 措施 。 

($5) 应 用 系统 安全 检查 ”此 部 分 内 容 可 考虑 : 

1) 应 用 系统 投产 前 的 《测试 报告 》 和 《验收 报告 》。 

2) 应 用 系统 投产 后 的 运行 情况 。 

3) 操作 员 身 份 识别 管理 制度 和 数据 备份 制度 。 

4) 应 用 系统 的 变更 管理 。 

5) 应 用 系统 维护 档案 的 完整 性 。 

2. 银行 日 常 信息 科技 相关 操作 

(1) 日 常 操作 安全 检查 ”该 部 分 内 容 可 考虑 : 

1) 按 规定 权限 和 操作 规程 操作 。 

2) 密码 管理 制度 执行 。 

3) 日 常 运 行 中 的 异常 处 理 规程 和 记录 。 

4) 生产 运行 工作 日 志 。 

(2) 日 常 监控 安全 检查 ”该 部 分 内 容 可 考虑 : 

1) 主 控 台 信息 、 系 统 运 行 状态 和 性 能 、 资 源 使 用 、 网 络 运行 等 情况 的 监控 。 

2) 对 系统 用 户 行为 的 监控 。 

3) 对 系统 配置 的 监控 。 

4) 对 黑客 人 侵 、 病 毒 扩 散 等 安全 事件 的 监控 。 

5) 对 业务 交易 的 监控 。 

6) 应 用 系统 新 上 线 运行 和 特殊 处 理 日 (节假日 、 结 息 日 、 月 终 、 年 终 决 算 日 等 ) 
的 运行 监控 。 

(3) 生产 数据 备份 安全 检查 ”该 部 分 内 容 可 考虑 : 


105 


| 银行 信息 安全 技术 及 管理 体系 


1) 日 常 的 备份 。 

2) 特殊 处 理 日 的 备份 。 

3) 定期 整理 生产 数据 的 备份 。 

4) 备份 介质 的 存放 。 

5) 定期 检查 备份 数据 的 有 效 性 。 

(4) 信息 安全 开发 检查 ”该 部 分 内 容 可 考虑 . 

1) 开发 安全 生命 周期 安全 评审 情况 。 

2) 源 代 码 访 问 授 权 管理 情况 。 

3) 开发 过 程 变更 管理 。 

4) 上 线 及 系统 迁移 管理 。 

(5) 技术 档案 安全 检查 ”该 部 分 内 容 可 考虑 . 

1) 技术 档案 管理 制度 和 办 法 。 

2) 技术 档案 的 完整 、 准 确 、 安 全 。 

3) 技术 档案 使 用 登记 记录 和 审批 手续 。 

4) 技术 档案 在 保管 和 传递 过 程 中 的 保密 和 安全 措施 。 

(6) 终端 安全 防范 检查 ”该 部 分 内 容 可 考虑 .: 

1) 终端 层面 安全 管理 工具 部 署 。 

2) 终端 病毒 预防 和 控制 。 

3) 终端 黑客 防范 ， 入 侵 事 件 报 告 、 保 护 和 事件 后 的 检查 等 。 

3. 典型 的 非 科 技 条 线 安全 检查 

(1) 信息 安全 培训 检查 ”该 部 分 内 容 可 考虑 : 

1) 信息 安全 培训 覆盖 面 。 

2) 信息 安全 培训 开展 评估 。 

3) 信息 安全 培训 效果 评价 。 

4) 信息 安全 培训 安全 培训 记录 。 

(2) 信息 安全 组 织 建设 情况 检查 ”该 部 分 内 容 可 考虑 信息 安全 组 织 岗位 人 员 配 备 
及 信息 安全 组 织 职责 履行 。 

(3) 人 员 安 全 管理 检查 ”该 部 分 内 容 可 考虑 入 职 过 程 安全 管理 、 在 岗 人 员 安 全 管 
理 及 离职 过 程 安全 管理 。 

(4) 外 包 安 全 管理 检查 ”该 部 分 内 容 可 考虑 外 包 供 应 商 管理 及 外 包 人 员 安 全 管理 。 

(5) 信息 安全 制度 建设 情况 检查 ”该 部 分 内 容 可 考虑 信息 安全 制度 的 定期 更 新 。 

(6) 安全 事件 管理 检查 ”该 部 分 内 容 可 考虑 重大 安全 事件 的 报告 情况 及 重大 安全 
事件 的 处 置 与 记录 。 

(7) 信息 安全 应 急 管理 检查 ”该 部 分 内 容 包 括 应 急 方 案 建 设 和 应 急 演 练 情况 。 
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第 10 各 
信息 安全 事件 管理 


我 国 银行 业 在 信息 安全 上 虽然 取得 了 长 足 的 进步 ， 但 也 面临 着 诸多 信息 安全 事件 的 
困扰 。 因 此 银行 业 对 于 信息 安全 事件 的 有 效 管理 至 关 重 要 。 本 章 描述 了 信息 安全 事件 管 
理 的 基本 概念 、 信 息 安全 事件 的 分 类 分 级 、 信 息 安全 事件 的 管理 过 程 ， 以 及 银行 业 信息 
安全 事件 的 应 急 处 理 。 


10.1 信息 安全 事件 管理 概述 


安全 事件 是 指针 对 业务 平台 系统 ， 由 于 硬件、 软件 、 数 据 等 信息 资产 因 非 法 攻击 或 
病毒 入 侵 等 内 、 外 部 威胁 而 遭 到 破坏 、 更 改 、 汇 漏 ， 最 终 造成 业务 平台 系统 信息 安全 受 
到 威胁 ， 不 能 正常 运行 ， 从 而 影响 正常 的 业务 发 展 。 作 为 金融 行业 的 组 织 整体 信息 安全 
战略 的 一 个 关键 部 分 ， 采 用 一 种 结构 严谨 、 计 划 周 全 的 方法 来 进行 信息 安全 事件 的 管理 
是 至 关 重 要 的 。 信 息 安 全 事件 的 管理 目标 旨 在 确保 : 

1) 信息 安全 事件 可 以 被 发 现 并 得 到 有 效 处 理 。 

2) 对 已 确定 的 信息 安全 事件 进行 评 佑 ， 并 以 最 恰当 和 最 有 效 的 方式 做 出 啊 应 。 

3) 及 时 总 结 信息 安全 事件 及 其 管理 的 经 验 教 训 。 这 将 增加 预防 将 来 信息 安全 事件 
发 生 的 机 会 ， 改 进 信息 安全 防护 措施 的 实施 和 使 用 ， 同 时 全 面 改进 信息 安全 事件 管理 
方案 。 


10.2 信息 安全 事件 分 类 


言 息 安 全 事件 可 以 是 故意 、 过 失 或 非 人 为 原因 引起 的 ,根据 《信息 安全 技术 信息 
安全 事件 分 类 分 级 指南 》 ( GB/Z 20986 一 2007)， 信 息 安 全 事件 分 为 有 害 程序 事件 、 网 
络 攻击 事件 、 信 息 破坏 事件 、 信 息 内 容 安 全 事件 、 设 备 设施 故障 、 灾 害 性 事件 和 其 他 信 
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息 安全 事件 共 7 个 基本 分 类 ， 每 个 基本 分 类 分 别 包 括 若 干 个 子 类 。 银 行业 大 多 参考 该 标 
准 制订 符合 自身 实际 的 信息 安全 事件 分 类 。 


10.2.1 有 害 程 序 事 件 


有 害 程序 是 指 搬 人 到 信息 系统 中 的 一 段 程 序 ， 会 危害 系统 中 数据 、 应 用 程序 或 操作 
系统 的 保密 性 、 完 整 性 或 可 用 性 ， 或 影响 信息 系统 的 正常 运行 。 有 害 程序 事件 是 指 蓄意 
制造 、 传 播 有 害 程序 ， 或 是 因 受 到 有 害 程序 的 影响 而 导致 的 信息 安全 事件 ， 包 括 计算 机 
病毒 事件 、 蠕 虫 事件 、 木 马 事件 、 伪 让 网 络 事件 、 混 合 攻 击 程序 事件 、 网 页 内 购 恶 意 代 
码 事件 和 其 他 有 害 程序 事件 共 7 个 第 二 层 分 类 。 


10.2.2 网 络 攻击 事件 


网 络 攻击 事件 是 指 通过 网 络 或 其 他 技术 手段 ， 利 用 信息 系统 的 配置 缺陷 、 协 议 缺 
陷 、 程 序 缺 陷 或 使 用 暴力 攻击 对 信息 系统 实施 攻击 ， 并 造成 信息 系统 异常 或 对 信息 系统 
当前 运行 造成 潜在 危害 的 信息 安全 事件 。 网 络 攻击 事件 包括 拒绝 服务 攻击 事件 、 后 门 攻 
击 事件 、 网 络 扫 描 盆 听 事件 、 网 络 钓鱼 事件 、 干 扰 事 件 和 其 他 网 络 攻 击 事件 共 6 个 第 二 
层 分 类 。 


10.2.3 信息 破坏 事件 


言 息 破坏 事件 是 指 通过 网 络 或 其 他 技术 手段 ， 造 成 信息 系统 中 信息 被 自 改 、 假 冒 、 
浊 露 、 穷 取 等 而 导致 的 信息 安全 事件 。 它 包括 信息 自 战 事件 、 信 息 假 冒 事件 、 信 息 泄 漏 
事件 、 信 息 穷 取 事 件 、 信 息 丢失 事件 和 其 他 信息 破坏 事件 共 6 个 第 二 层 分 类 。 


10.2.4 信息 内 容 安全 事件 


言 息 内 容 安全 事件 是 指 利 用 信息 网 络 发 布 或 传播 危害 国家 安全 、 社 会 稳定 和 公共 利 
益 的 内 容 的 安全 事件 ， 包 括 违反 宪法 和 法 律 、 行 政法 规 的 信息 安全 事件 ; 针对 社会 事项 
进行 讨论 、 评 论 形成 网 上 敏感 的 与 论 热 点 ， 出 现 一 定 规 模 炒 作 的 信息 安全 事件 ; 组 织 
连 、 烛 动 集会 游行 的 信息 安全 事件 ， 其 他 信息 内 容 安 全 事件 共 4 个 第 二 层 分 类 。 


10.2.5 设备 设施 故障 


设备 设施 故障 是 指 由 于 信息 系统 自身 故障 或 外 围 保 障 设施 故障 而 导致 的 信息 安全 事 
件 ， 以 及 人 为 使 用 非 技术 手段 有 意 或 无 意 的 造成 信息 系统 破坏 而 导致 的 信息 安全 事件 。 
设备 设施 故障 包括 软 硬 件 自身 故障 、 外 围 保障 设施 故障 、 人 为 破坏 事故 和 其 他 设备 设施 
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故障 共 4 个 第 二 层 分 类 。 


10.2.6 灾害 性 事件 


灾害 性 事件 是 指 由 于 不 可 抗力 对 信息 系统 造成 物理 破坏 而 导致 的 信息 安全 事件 。 它 
包括 水 灾 、 人 台风、 地震、 雷击 、 贡 塌 、 火 灾 、 仙 怖 秦 击 、 战 争 等 导致 的 信息 安全 事件 。 


10.2.7 其 他 信息 安全 事件 


其 他 信息 安全 事件 类 别 是 指 不 能 归 为 以 上 6 个 基本 分 类 的 信息 安全 事件 。 


10.3 信息 安全 事件 的 分 级 


根据 《信息 安全 技术 信息 安全 事件 分 类 分 级 指南 》 (GB/Z 20986 一 2007 ) ， 对 信息 
安全 事件 的 分 级 可 参考 3 个 要 素 ， 即 信息 系统 的 重要 程度 、 系 统 损 失 和 社会 影响 。 

1) 信息 系统 的 重要 程度 : 信息 系统 的 重要 程度 主要 考虑 信息 系统 所 承载 的 业务 对 
国家 安全 、 经 济 坚实 、 社 会 生活 的 重要 性 ， 以 及 业务 对 信息 系统 的 依赖 程度 ， 划 分 为 特 
别 重要 的 信息 系统 、 重 要 信息 系统 和 一 般 信息 系统 。 

2) 系统 损失 : 系统 损失 是 指 由 于 信息 安全 事件 对 信息 系统 的 软 硬 件 、 功 能 及 数据 
的 破坏 ， 导 致 业务 中 断 ， 从 而 给 银行 和 国家 所 造成 的 损失 ， 其 大 小 主要 考虑 恢复 系统 正 
常 运行 和 消除 安全 事件 负面 影响 所 需 付 出 的 代价 。 

3) 社会 影响 :社会 影响 是 指 信息 安全 事件 对 社会 所 造成 影响 的 范围 和 程度 ， 其 大 
小 要 考虑 国家 安全 、 社 会 秩序 、 经 济 建设 和 公众 利益 等 方面 的 影响 。 

根据 业务 平台 系统 突 发 事件 的 紧急 程度 和 发 展 趋势 ， 以 及 对 服务 的 用 户 造 成 的 影响 
程度 (范围 和 持续 时 间 )， 将 安全 事件 分 为 特别 重大 事件 、 重 大 事件 、 较 大 事件 和 一 般 
事件 共 4 个 等 级 。 


10.3.1 特别 重大 事件 ( 工 级 ) 


特别 重大 事件 是 指 能 够 导致 特别 严重 影响 或 破坏 的 信息 安全 事件 ， 会 使 特别 重要 的 
信息 系统 遭受 特别 重大 的 系统 损失 ， 即 造成 系统 大 面积 次 痪 ， 使 其 丧失 业务 处 理 能 
或 系统 关键 数据 的 保密 性 、 完 整 性 、 可 用 性 遭 到 严重 破坏 ， 恢 复 系统 正常 运行 和 消除 安 
全 事件 负面 影响 所 需 付 出 的 代价 十 分 巨大 ， 对 于 银行 是 不 可 承受 的 。 它 所 产生 的 社会 影 
响 会 波及 一 个 或 多 个 省 市 的 大 部 分 地 区 ， 极 大 威胁 国家 安全 ， 引 起 社会 动荡 ， 对 经 济 建 
设 有 极其 恶劣 的 负面 影响 ,或 者 严重 损害 公众 利益 。 
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10.3.2 重大 事件 ( 工 级 ) 


重大 事件 是 指 能 够 导致 严重 影响 或 破坏 的 信息 安全 事件 ， 会 使 特别 重要 的 信息 系统 
遭受 重大 的 损失 ， 即 造成 系统 长 时 间 中 断 或 局 部 瘫痪 ,使 其 业务 处 理 能 力 受 到 极 大 影 
响 ， 或 系统 关键 数据 的 保密 性 、 完 整 性 、 可 用 性 遭 到 破坏 ， 恢 复 系统 正常 运行 和 消除 安 
全 事件 负面 影响 所 需 付 出 的 代价 巨大 ， 对 于 银行 是 可 承受 的 ; 或 使 重要 信息 系统 遭受 特 
别 重大 的 系统 损失 。 它 所 产生 的 社会 影响 波及 一 个 或 多 个 地 市 的 大 部 分 地 区 ， 威 胁 到 国 
家 安全 ， 引 起 社会 铠 懂 ， 对 经 济 建设 有 重大 的 负面 影响 ,或 者 损害 到 公众 利益 。 


10. 3.3 ” 较 大 事件 〈 焉 级 ) 


较 大 事件 是 指 能 够 导致 较 严 重 影响 或 破坏 的 信息 安全 事件 ， 会 使 特别 重要 的 信息 系 
统 遭 受 较 大 的 系统 损失 ， 即 造成 系统 中 断 ， 明 显影 响 系 统 效率 ， 使 重要 信息 系统 或 一 般 
信息 系统 业务 处 理 能 力 受 到 影响 ， 或 系统 重要 数据 的 保密 性 、 完 整 性 、 可 用 性 遭 到 破 
坏 ， 恢 复 系 统 正 常 运行 和 消除 安全 事件 负面 影响 所 需 付 出 的 代价 较 大 ， 但 对 于 银行 是 完 
全 可 以 承受 的 ; 或 使 重要 信息 系统 遭受 重大 的 系统 损失 、 一 般 信息 系统 遭受 特别 重大 的 
系统 损失 。 它 所 产生 的 社会 影响 波及 一 个 或 多 个 地 市 的 部 分 地 区 ， 可 能 影响 到 国家 安 
全 ， 扰 乱 社 会 秩序 ， 对 经 济 建设 有 一 定 的 负面 影响 ， 或 者 影响 到 公众 利益 。 


10.3.4 一 般 事件 (区 级 ) 


一 般 事件 是 指 能 够 导致 较 小 影响 或 破坏 的 信息 安全 事件 ， 会 使 特别 重要 的 信息 系统 
遭受 较 小 的 系统 损失 ， 即 造成 系统 短暂 中 断 ， 影 响 系 统 效率 ， 使 系统 业务 处 理 能 力 受 到 
影响 ， 或 系统 重要 数据 的 保密 性 、 完 整 性 、 可 用 性 遭 到 影响 ， 恢 复 系统 正常 运行 和 消除 
安全 事件 负面 影响 所 需 付出 的 代价 较 小 ; 或 使 重要 信息 系统 遭受 较 大 的 系统 损失 、 一 般 
信息 系统 遭受 重大 的 系统 损失 。 它 所 产生 的 社会 影响 波及 一 个 地 市 的 部 分 地 区 ， 对 国家 
安全 、 社 会 秩序 、 经 济 建设 和 公众 利益 基本 没有 影响 ， 但 对 个 别 公民 、 法 人 或 其 他 组 织 
的 利益 会 造成 损害 。 


10.4 银行 业 突 发 事件 分 级 管理 


2011 年 ， 为 规范 银行 业 重要 信息 系统 的 突 发 事件 应 急 管 理 ， 提 高 应 对 突 发 事件 的 
综合 管理 水 平和 应 急 处 置 能 力 ， 有 效 防范 银行 业 信息 系统 风险 。 银 监 会 根据 《中 华人 
民 共 和 国 银行 业 监督 管理 法 》《 中 华人 民 共 和 国 突 发 事件 应 对 法 》 及 相关 法 律 法 规 ， 制 
定 并 下 发 了 《银行 业 重要 信息 系统 突 发 事件 应 急 管理 规范 》。 
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该 规范 所 面向 的 对 象 是 在 我 境内 设立 的 政策 性 银行 、 国 有 商业 银行 、 股 份 制 商业 银 
行 、 邮 政 储蓄 银行 、 城 市 商业 银行 、 农 村 商业 银行 、 农 村 合作 银行 、 农 村 信用 社 、 城 市 
信用 社 ， 外 商 独 资 银 行 、 中 外 合资 银行 和 外 国 银行 分 行 。 规 范 中 对 银行 业 重要 信息 系统 
突 发 事件 应 对 工作 原则 、 信 息 系统 范围 进行 了 清晰 的 定义 ,明确 了 银监会 和 银行 业 金 融 
机 构 的 组 织 机 构 及 相关 职责 。 银 行业 由 于 信息 安全 事件 所 导致 的 突 发 事件 分 级 将 遵从 该 
规范 。 

该 规范 中 明确 规定 ， 银 行业 金融 机 构 对 突 发 事件 依照 其 影响 范围 及 持续 时 间 等 因素 
进行 分 级 。 其 分 级 原则 为 当 突 发 事件 同时 满足 多 个 级 别 的 定 级 条 件 时 ， 按 最 高 级 别 确定 
突 发 事件 等 级 。 规 范 中 将 突 发 事件 定义 为 三 级 : 特别 重大 突 发 事件 ( [级 ) 、 重 大 突 发 
事件 (本 级 ) 和 较 大 突 发 事件 〈 亚 级 ) 。 


10. 4.1 特别 重大 突 发 事件 ( 工 级 ) 


1) 银行 业 金融 机 构 由 于 重要 信息 系统 服务 中 断 或 重要 数据 损毁 、 丢 失 、 油 露 ， 造 
成 经 济 秩序 混乱 或 重大 经 济 损失 、 影 响 金融 稳定 的 ， 或 对 公众 利益 造成 特别 严重 损害 的 
突 发 事件 。 

2) 由 于 重要 信息 系统 服务 异常 ， 在 业务 服务 时 段 导 致 银行 业 金 融 机 构 两 个 〈 含 ) 
以 上 省 ( 自治区、 直辖市 ) 业务 无 法 正常 开展 达 3 小 时 ( 含 ) 以 上 , 或 一 个 省 (自治 
区 、 直 辖 市 ) 业务 无 法 正常 开展 达 6 小 时 ( 含 ) 以 上 的 突 发 事件 。 

3) 业务 服务 时 段 以 外 ， 重 要 信息 系统 出 现 的 故障 或 事件 救治 未 果 ， 可 能 产生 上 述 
1 ~2 类 的 突 发 事件 。 


10. 4.2 重大 突 发 事件 ( 工 级 ) 


1) 银行 业 金融 机 构 由 于 重要 信息 系统 服务 中 断 或 重要 数据 损毁 、 丢 失 、 泄 露 ， 对 
银行 或 客户 利益 造成 严重 损害 的 突 发 事件 。 

2) 由 于 重要 信息 系统 服务 异常 ， 在 业务 服务 时 段 导致 银行 金融 机 构 两 个 ( 含 ) 以 
上 省 ( 自治区、 直辖市 ) 业务 无 法 正常 开展 达 半 小 时 ( 含 ) 以 上 ,或 一 个 省 (自治 区 、 
直辖 市 ) 业务 无 法 正常 开展 达 3 小 时 ( 含 ) 以 上 的 突 发 事件 。 

3) 业务 服务 时 段 以 外 ， 出 现 的 重要 信息 系统 故障 或 事件 救治 未 果 ， 可 能 产生 上 述 
1 ~2 类 的 突 发 事件 。 


10.4.3 较 大 突 发 事件 〈 焉 级 ) 


1) 银行 业 金融 机 构 由 于 重要 信息 系统 服务 中 断 或 重要 数据 损毁 、 丢 失 、 泄 露 ， 对 

银行 或 客户 利益 造成 较 大 损害 的 突 发 事件 。 
2) 由 于 重要 信息 系统 服务 异常 ， 在 业务 服务 时 段 导致 一 个 省 ( 自治区、 直辖 市 ) 
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业务 无 法 正常 开展 达 半 小 时 ( 含 ) 以 上 的 突 发 事件 。 

3) 业务 服务 时 段 以 外 ， 出 现 的 重要 信息 系统 故障 或 事件 救治 未 果 ， 可 能 产生 上 述 
1 ~2 类 的 突 发 事件 。 

重要 信息 系统 突 发 事件 发 生 后 ， 银 行业 金融 机 构 应 依据 事件 影响 范围 和 影响 时 间 的 
变化 ， 按 照 上 述 定义 进行 事件 级 别 升级 。 


10.5 信息 安全 事件 管理 的 过 程 


一 、 


言 息 安全 事件 管理 由 4 个 不 同 的 过 程 组 成 ， 即 规划 和 准备 (Plan and Prepare) 、 使 
用 (Use)、 评 审 (Review)、 改 进 (Improve) 。 

1. 规划 和 准备 

有 效 的 信息 安全 事件 管理 需要 适当 的 规划 和 准备 。 为 使 信息 安全 事件 的 响应 有 效 ， 
下 列 措施 是 必要 的 : 

1) 制定 信息 安全 事件 管理 策略 并 使 其 成 为 文件 ， 获 得 所 有 关键 利益 相关 人 ， 尤 其 
是 高 级 管理 层 对 策略 的 可 视 化 承诺 。 

2) 制定 信息 安全 事件 管理 方案 并 使 其 全 部 成 为 文件 ， 用 以 支持 信息 安全 事件 管理 
策略 ; 用 于 发 现 、 报 告 、 评 佑 和 响应 信息 安全 事件 的 表单 、 规 程 和 支持 工具 ， 以 及 事件 
严重 性 衡量 尺度 的 细节 。 

3) 更 新 所 有 层面 的 信息 安全 和 风险 管理 策略 。 全 银行 范围 的 ， 以 及 针对 每 个 系 
统 、 服 务 和 网 络 的 信息 安全 和 风险 管理 策略 ， 均 应 根据 信息 安全 事件 管理 方案 进行 
更 新 。 

4) 确定 一 个 适当 的 信息 安全 事件 管理 的 组 织 结构 ， 即 信息 安全 事件 响应 组 ， 给 那 
些 可 调用 的 、 能 够 对 所 有 已 知 的 信息 安全 事件 类 型 做 出 充分 啊 应 的 人 员 指 派 明 确 的 角色 
和 责任 。 在 银行 中 ， 应 急 响 应 团队 可 以 是 一 个 虚拟 小 组 ， 即 由 一 名 高 级 管理 人 员 领 导 
的 、 得 到 各 类 特定 主题 专业 人 员 文 持 的 小 组 。 例 如 ， 在 处 理 恶 意 代 码 攻击 时 ， 根 据 相 关 
事件 类 型 召集 相关 的 专业 人 员 。 

5) 通过 简报 和 /或 其 他 机 制 使 所 有 的 员工 了 解 信息 安全 事件 管理 方案 、 方 案 能 带 
来 哪些 益处 ， 以 及 如 何 报告 信息 安全 事态 。 应 该 对 管理 信息 安全 事件 管理 方案 的 负 
责 人 员 、 判 断 信 息 安 全 事态 是 否 为 事件 的 决策 者 ， 以 及 参与 事件 调查 的 人 员 进 行 适 
当 培 训 。 

6) 全 面 测试 信息 安全 事件 管理 方案 。 在 进行 信息 安全 事件 的 规划 时 ， 应 该 制订 规 
范 的 信息 安全 事件 记录 单 ， 以 便 对 信息 安全 事件 进行 有 效 记 录 ( 表 10-1) 。 

2. 使 用 

下 列 过 程 是 使 用 信息 安全 事件 管理 方案 的 必要 过 程 : 

1) 发 现 和 报告 所 发 生 的 信息 安全 事态 (人 为 或 自动 方式 ) 。 
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表 10-1 信息 安全 事件 记录 单 


信息 安全 事件 记录 单 


系统 名 称 故障 编号 
设备 名 称 设备 
事件 信息 

事件 类 型 系统 口 ”软件 国 ”网络 口 终端 口 ”环境 设备 系统 口 ”应 用 系统 口 ”安全 口 ” 其 他 
事件 优先 级 1 2 3 4 5 国 事件 处 理 人 

事件 报修 人 联系 电话 

受理 日 期 受理 时 间 

结束 日 期 结束 时 间 
事件 描述 
事件 初步 处 理 


事件 初步 处 理 的 过 程 描述 ,需要 记录 的 详细 步骤 


结束 日 期 结束 时 间 


l 件 原因 确定 ,需要 明确 说 明 


| 


晶 的 方法 或 者 暂时 解决 途径 : 


jn 
贡 

宝 
产 


其 他 附件 (可 选 ) ; 


后 续 建 议 


2) 收集 与 信息 安全 事态 相关 的 信息 ， 通 过 评估 这 些 信息 确定 哪些 事态 应 归 类 为 信 
息 安 全 事件 。 

3) 对 信息 安全 事件 做 出 响应 

Q 立刻、 实时 或 接近 实时 。 

@) 如 果 信息 安全 事件 在 控制 之 下 ， 按 要 求 在 相对 缓和 的 时 间 内 采取 行动 。 

@) 如 果 信 息 安全 事件 不 在 控制 之 下 ， 发 起 “危机 求助 ”行动 (如 召唤 消防 队 / 部 
门 或 者 启动 业务 连续 性 计划 ) 。 

@ 将 信息 安全 事件 及 任何 相关 的 细节 传达 给 内 部 和 外 部 人 员 和 /或 组 织 (其 中 可 能 
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包括 按 要 求 上 报 以 便 进一步 评估 和 /或 决定 ) 。 

@) 进行 法 律 取证 分 析 。 

@ 正确 记录 所 有 行动 和 决定 以 备 进一步 分 析 之 用 。 

Q@ 结束 对 已 经 解决 事件 的 处 理 。 

3. 评审 

在 信息 安全 事件 已 经 解决 或 结束 后 ， 进 行 以 下 评审 活动 是 必要 的 : 

1) 按 要 求 进行 进一步 法 律 取 证 分 析 。 

2) 总 结 信息 安全 事件 中 的 经 验 教 训 。 

3) 作为 从 一 次 或 多 次 信息 安全 事件 中 吸取 经 验 教训 的 结果 ， 确 定 在 信息 安全 防护 
措施 实施 方面 的 改进 。 

4) 作为 从 信息 安全 事件 管理 方案 质量 保证 评审 (如 根据 对 过 程 、 规 程 、 报 告 单 
和 /或 组 织 结构 所 做 的 评审 ) 中 吸取 经 验 教训 的 结果 ， 确 定 对 整个 信息 安全 事件 管理 方 
案 的 改进 。 

4. 改进 

安全 事件 管理 过 程 虽然 可 以 反复 实施 ， 但 随 着 时 间 的 推移 ， 有 许多 信息 安全 要 素 需 
要 经 常 改 进 。 这 些 需要 改进 的 地 方 应 该 根据 对 信息 安全 事件 数据 、 事 件 响应 及 一 段 时 间 
以 来 的 发 展 趋势 所 做 评审 的 基础 上 提出 。 其 中 包括 : 

1) 修订 银行 现 有 的 信息 安全 风险 分 析 和 管理 评审 结果 。 

2) 改进 信息 安全 事件 管理 方案 及 其 相关 文档 。 

3) 启动 安全 的 改进 ， 可 能 包括 新 的 和 /或 经 过 更 新 的 信息 安全 防护 措施 的 实施 。 


10.6 信息 安全 事件 应 急 处 理 


应 急 处 理 是 指 在 计算 机 系统 或 网 络 上 的 威胁 安全 的 事件 发 生 后 采取 的 措施 和 行动 。 
这 些 措施 和 行动 通常 是 用 来 减 小 和 阻止 事件 带 来 的 负面 影响 和 坏 的 后 果 。 

害 息 安全 事件 应 急 处 理 的 目的 是 限制 攻击 的 范围 ， 同 时 也 限制 了 潜在 的 损失 和 破 
坏 。 在 事件 确认 后 ， 无 论 谁 来 处 理事 件 ， 都 应 该 考虑 事件 处 理 的 合理 方式 ， 并 确定 一 个 
最 佳 的 方式 。 非 常 重要 的 一 点 是 ， 永 远 都 不 要 轻视 抑制 措施 ， 因 此 太 多 的 安全 事件 就 是 
忽略 了 这 一 点 而 导致 迅速 地 失控 。 

银行 信息 安全 应 急 处 理工 作 需 要 注意 下 述 方面 的 内 容 。 

1. 应 急 处 理 原则 

对 于 发 现 信 息 安全 事件 的 是 第 一 个 注意 到 安全 入 侵 和 需要 研究 的 异常 现象 的 人 员 ， 
或 者 第 三 方 人 员 可 能 会 试图 根除 这 些 异常 或 是 事件 (更 常见 的 是 觉察 到 异常 ， 但 最 后 
证 明 不 是 安全 事件 ) ， 但 由 于 缺乏 专业 性 ， 他 们 经 常 带 来 很 多 麻烦 ， 有 可 能 对 系统 和 文 
件 造成 的 破坏 比 攻击 者 还 要 严重 。 因 而 ,这些 工作 应 该 由 专业 的 应 急 响应 团队 来 完成 。 
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一 般 人 员 遇 到 异常 情况 ， 遵 守 以 下 这 些 行为 规范 

1) 在 没有 向 专家 咨询 之 前 不 要 关闭 自己 的 系统 或 者 断 开 网 络 。 

2) 按照 银行 的 报告 程序 〈 应 急 响应 策略 ) 向 安全 负责 人 报告 任何 可 疑 现 象 

3) 继续 监控 并 记录 可 疑 的 现象 ， 直 到 处 理 该 类 安全 事件 的 人 员 到 达 。 

4) 不 要 修改 系统 或 应 用 软件 。 

5) 除非 得 到 管理 层 同意 ， 不 要 告诉 媒体 任何 信息 。 

2. 确定 适当 的 响应 方式 

这 一 阶段 ， 应 急 响应 团队 在 明确 了 事件 的 发 生 及 掌握 相关 的 信息 后 ， 应 当选 择 适当 
的 响应 方式 。 这 些 选 择 包括 恢复 运行 、 在 线 响应 与 离线 响应 、 媒 体 公关 、 识 别 攻击 者 、 
起 诉 和 惩罚 等 。 除 了 这 些 简单 的 方式 ， 当 然 还 有 其 他 的 。 响 应 的 方式 不 可 生 搬 硬 套 ， 只 
能 因地制宜 。 

(1) 恢复 运行 ”最 快 最 简单 的 响应 方式 以 恢复 正常 运行 为 唯一 目的 。 不 必 过 分 小 
心 谨慎 地 进行 保护 证 据 、 确 定 责任 人 、 追 踪 攻 击 者 等 一 些 复杂 的 工作 。 相 反 ， 其 唯一 目 
标 在 于 使 被 侵袭 的 系统 恢复 到 正常 运行 的 状态 。 

这 是 网 站 被 涂改 和 拒绝 服务 攻击 突 发 事件 的 常见 响应 。 这 种 响应 不 需要 庞大 的 计算 
机 应 急 响应 小 组 或 耗费 大 量 精力 进行 事件 调查 取证 。 使 用 该 响应 方式 的 典型 方法 ， 一 般 
是 用 备份 来 恢复 受害 系统 ， 然 后 重新 配置 防火 增 和 路 由 器 以 防止 同类 攻击 的 再 次 发 生 。 

(2) 执行 在 线 或 离线 响应 “响应 的 基本 决策 之 一 是 该 系统 是 否 可 以 移出 网 络 。 如 
果 该 系统 是 某 种 不 具有 备份 的 硬件 解决 方案 ， 并 且 对 运行 非常 关键 ， 那 么 可 能 需要 在 保 
持 系统 在 线 状态 下 执行 响应 ， 这 可 能 导致 证 据 收集 和 司法 鉴定 更 加 困难 。 

另 一 方面 ， 为 了 获得 足够 证 据 以 识别 攻击 者 ， 可 能 需要 计算 机 保持 工作 状态 和 在 线 
状态 ， 以 监视 攻击 者 的 活动 并 跟踪 其 来 源 。 由 于 系统 是 否 可 以 进入 离线 状态 常常 是 关系 
到 停止 服务 的 商业 问题 ， 因 而 可 能 要 有 非 应 急 响应 团队 的 成 员 来 裁决 ， 这 通常 是 管理 层 
的 工作 ， 但 在 其 做 出 决定 前 必须 让 决策 者 明白 各 种 决定 对 应 急 响应 的 副作用 。 

(3) 媒体 公关 ”公众 是 否 知道 该 突 发 事件 ? 公众 对 此 是 否 有 所 察觉 ? 如 果 两 个 问 
题 的 管 案 均 为 “是 "， 那 么 应 当 将 应 急 方式 中 包括 对 媒体 进行 攻关 ， 即 向 新 闻 媒体 适当 
地 公开 一 些 信息 。 

大 多 数 银行 具有 公关 部 门 ， 通 过 向 媒体 发 布 一 些 与 事件 相关 的 有 利于 银行 的 信息 ， 
能 够 起 到 稳定 人 心 、 引 导 公众 意识 的 作用 。 作 为 应 急 响应 队伍 的 领导 人 应 该 明白 在 何 种 
状态 下 都 要 使 公关 人 员 参 与 进来 ， 并 且 使 他 们 成 为 应 急 响应 团队 中 不 可 分 割 的 一 部 分 。 
“准备 ”阶段 应 该 使 这 些 人 在 突 发 事件 发 生前 有 所 准备 。 

(4) 识别 攻击 者 ”响应 策略 的 目标 是 否 识别 攻击 者 ”如 果 是 ， 那 么 该 响应 将 需要 
仔细 而 且 很 可 能 宛 长 的 调查 。 如 果 攻 击 者 来 自 内 部 ， 则 无 须 使 用 外 部 法 律 力量 即 可 实现 
该 目标 ， 如 果 攻 击 者 来 自 于 互联 网 ， 那 么 调查 必须 借助 外 部 法 律 力量 。 如 果 没 有 第 三 广 
对 攻击 源 进行 调查 ， 那 么 可 能 永远 无 法 确定 攻击 者 身份 ， 而 只 能 确定 攻击 的 最 后 一 个 中 
继 站 。 此 外 ， 任 何 试图 识别 攻击 者 的 调查 都 可 能 需要 大 量 的 时 间 和 资源 。 

对 于 正在 进行 的 网 络 攻击 ， 可 能 要 求 采取 被 动 监视 ， 并 且 可 能 需要 所 有 受 危及 系统 
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保持 易 受 攻击 的 在 线 状态 ， 以 免 打 草 惊 蛇 。 现 在 并 不 是 任何 一 个 公司 都 具备 用 以 识别 攻 
击 者 的 资源 ， 因 而 只 好 满足 于 保护 和 恢复 被 侵袭 的 系统 。 

(5) 起 诉 和 惩戒 ， 是 否 希望 起 诉 或 采取 惩戒 ”如果 是 ， 自 然 需要 首先 识别 攻击 者 。 
然后 需要 以 收集 和 保存 的 证 据 来 起 诉 攻击 者 。 这 里 要 注意 的 是 ， 收 集 的 证 据 的 方式 及 证 
据 本 身 必须 是 司法 机 关 认 可 的 。 

3. 可 采用 的 抑制 动作 

一 种 响应 方式 是 由 一 系列 的 单个 或 多 个 动作 来 组 成 的 。 

1) 完全 关闭 所 有 系统 (一 种 彻底 的 强力 措施 ， 但 有 时 也 是 明智 的 决定 ) ， 能 及 时 
地 防止 进一步 的 破坏 。 

2) 拔 掉 网 线 ， 从 网 络 上 上 断 开 。 

3) 修改 所 布防 火 墙 和 路 由 器 的 过 波 规 则 ， 拒 绝 来 自发 起 攻击 的 嫌疑 主机 的 所 有 流 。 

4) 封闭 或 删除 被 攻破 的 登录 账号 。 

5) 提高 系统 、 服 务 和 网 络 行为 的 监控 级 别 。 

6) 设置 诱 乌 服务 器 作为 陷阱 。 

7) 关闭 服务 。 

8) 反击 攻击 者 的 系统 。 

事件 抑制 的 一 个 基本 部 分 是 找到 攻击 者 可 能 安装 在 系统 中 的 恶意 程序 和 后 门 程序 ， 
这 些 程序 使 得 攻击 者 可 以 不 经 授权 便 能 重新 进入 被 攻破 的 主机 和 网 络 设 备 。 如 果 已 经 安 
装 了 后 门 ， 删 除 它们 通常 是 必 不 可 少 的 操作 。 可 能 会 有 些 例外 ， 比 如 应 急 响 应 工作 涉及 
收集 法 律 起 诉 工作 所 需要 的 证 据 。 类 似 的 ， 如 果 有 人 未 经 授权 或 得 了 超级 用 户 的 访问 权 
限 ,或 者 得 到 了 口令 文件 的 一 个 拷贝 ， 通常 也 要 尽快 地 认真 更 改 所 有 的 口令 〈 因 为 攻 
击 者 可 能 已 经 破解 了 其 他 的 口令 ) 。 

4. 其 他 考虑 

1) 坚持 充分 定义 的 和 详细 的 抑制 措施 。 

2) 继续 用 细致 有 效 的 手段 记录 事件 期 间 发 生 的 所 有 事情 、 已 经 完成 的 事情 、 花 费 
的 时 间 及 其 他 重要 的 细节 。 

3) 在 事件 发 生前 定义 可 接受 的 风险 程度 。 

4) 如 果 有 持续 性 的 破坏 、 如 果 数 据 被 破坏 等 ， 应 告诉 用 户 被 攻击 系统 的 当前 状况 。 

5) 向 合适 的 组 织 和 人 报告 任何 重要 的 最 新 信息 。 


10.7 案例 介绍 某 商业 银行 信息 安全 事件 管理 办 法 


第 章 总 则 


第 一 条 ”为 了 防止 突 发 事件 对 某 商 业 银 行 股份 有 限 公司 (以 下 简称 “本 行 ”") 的 信 
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息 资产 造成 机 密 性 、 完 整 性 、 可 用 性 方面 的 危害 ， 从 而 给 本 行 带 来 任何 负面 影响 ， 特 制 
定 本 办 法 。 

第 二 条 ”本 办 法 旨 在 加 强 信 息 技术 人 员 的 责任 感 ， 最 大 程度 地 防范 技术 事件 ， 减 少 
因 罕 发 事件 造成 的 损失 ， 保 障 本 行 各 项 业务 的 顺利 进行 。 

第 三 条 ”信息 安全 事件 处 理应 依据 “ 先 处置 ， 后 责任 ”的 原则 。 

第 四 条 ”本 办 法 适用 于 本 行 各 级 机 构 和 全 体 员 工 、 承 包 方 人 员 和 第 三 方 人 员 。 


第 二 章 ”信息 安全 事件 定义 与 分 类 分 级 


第 六 条 ”信息 安全 事件 是 指 由 于 自然 的 或 人 为 的 、 软 硬件 本 身 缺 陷 或 故障 等 原因 ， 
能 够 对 本 行 信息 资产 的 机 密 性 、 完 整 性 、 可 用 性 造成 危害 的 事件 。 信 息 安全 事件 包括 但 
不 限于 在 计算 机 系统 或 网 络 系统 中 发 生 的 对 社会 、 本 行 造成 负面 影响 的 事件 。 

第 七 条 根据 信息 安全 事件 发 生 的 原因 、 表 现形 式 等 ， 把 信息 安全 事件 分 为 恶意 程 
序 事件 、 网 络 攻击 事件 、 信 息 破 坏事 件 、 信 息 内 容 安全 事件 、 系 统 故 障 事件 、 灾 害 性 事 
件 和 其 他 信息 安全 事件 七 个 基本 大 类 。 

第 八条 ”根据 信息 安全 事件 的 影响 范围 与 程度 ， 对 其 严重 程度 从 高 到 低 分 为 1 级 
(特别 重大 )、 卫 级 (重大 )、 王 级 ( 较 大 ) 和 级 (一般 ) 四 个 等 级 。 


第 三 章 ”组 织 与 职责 


第 十 条 ”科技 信息 部 成 立信 息 科 技 应 急 处 置 小 组 ， 主 要 职责 为 : 

一 、 负 责 信息 安全 事件 的 处 置 工 作 及 事件 后 续 工 作 ， 包 括 事件 分 析 、 总 结 、 事 件 定 
性 及 责任 认定 。 

二 、 如 信息 安全 事件 达到 业务 连续 性 计划 启动 条 件 ， 配 合 业务 连续 性 应 急 处 置 工 作 
小 组 处 置 。 

第 十 二 条 ”将 达到 业务 连续 性 计划 启动 条 件 的 信息 安全 事件 纳入 业务 连续 性 管理 ， 
由 业务 连续 性 应 急 处 置 工作 小 组 具体 负责 处 置 工作 。 


第 四 章 管理 办 法 


第 一 节 ”事件 报告 和 处 理 程序 
第 十 三 条 ”信息 安全 事件 报告 程序 需 根据 事件 级 别 按 对 应 的 报告 和 处 理 程序 进行 
处 理 。 
第 十 四 条 ”所 有 本 行 员 工 或 者 外 包 人 员 ， 应 尽快 地 报告 所 发 现 的 信息 安全 事件 。 如 
果 发 现 事 件 或 故障 ， 应 立即 记录 下 所 有 重要 的 细节 ， 并 立即 报告 给 科技 信息 部 的 相关 系 
统 的 负责 人 员 。 
第 十 五 条 ”相关 系统 的 负责 人 员 报 告 其 中 心 主管 ， 由 中 心 主管 根据 事件 的 性 质 和 影 
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响 范 围 与 程度 等 因素 向 信息 科技 应 急 处 置 领 导 小 组 汇报 ， 信 息 科 技 应 急 处 置 领 导 小 组 组 
织 进行 必要 的 应 急 措施 ， 对 事件 进行 控制 ， 防 止 事态 进一步 扩大 。 

第 十 六 条 ”信息 科技 应 急 处 置 领 导 小 组 应 对 信息 安全 事件 判断 ， 如 事件 发 展 达 到 业 
务 连续 性 计划 启动 条 件 的 ， 则 第 一 时 间 向 业务 连续 性 应 急 处 置 工作 小 组 报告 ， 由 业务 连 
续 性 应 急 处 置 工作 小 组 全 面 接管 应 急 工作 。 

第 十 七 条 ”事件 处 置 程序 须 包 括 适 当 的 反馈 过 程 ， 以 确保 在 信息 安全 事件 处 理 完成 
后 ， 能 够 将 处 理 结果 ， 通 知 给 事件 报告 人 。 


第 十 八条 ” 当 发 生 信息 安全 事件 时 ， 信 息 科技 应 急 处 置 领导 小 组 应 及 时 组 织 人 员 
行事 件 评 佑 、 事 件 处 置 、 事 件 调查 ， 提 交 书 面 的 调查 报告 ， 必 要 时 可 组 织 有 关 专 家 进 
鉴定 ， 确 定 事件 原因 和 责任 。 

第 十 九条 ”信息 安全 管理 领导 小 组 应 根据 事件 处 理 报 告 的 结果 ， 和 督促 完成 如 下 
工作 : 

一 、 评 估 应 急 计划 是 否 完善 ， 检 查 应 急 措施 执行 落实 情况 。 

二 、 核 实 故 障 损失 ,会 同 相关 部 门 对 故障 后 果 进 行 评估 。 

三 、 检 讨 故障 处 理 过 程 中 存在 的 技术 问题 、 管 理 及 协调 问题 。 

四 、 形 成 信息 系统 故障 处 理 总 结 报告 ， 必 要 时 提出 整改 计划 和 整改 时 间 表 。 

五 、 将 故障 处 理 报 告 、 故 障 总 结 报告 等 内 容 定 期 发 布 ， 供 全 体 员工 学 习 交 流 。 

六 、 防 止 类 似 情 况 重 复发 生 。 

第 二 十 条 ”事件 责任 单位 或 部 门 应 按照 整改 时 间 表 落实 整改 ， 并 对 整改 后 的 情况 进 
行 追 踪 监 测 。 


进 
行 


第 三 节 事件 定性 及 责任 认定 

第 二 十 一 条 ”信息 安全 管理 领导 小 组 负责 事件 处 理 完毕 后 事件 认定 工作 。 发 生 信息 
安全 事件 后 ， 应 组 织 科 技 信息 部 、 受 事件 影响 的 业务 部 门 、 风 险 管理 部 组 成 事件 认定 工 
作 组 ， 必 要 时 可 要 求 系统 开发 商 或 其 他 合作 单位 参与 。 

第 二 十 二 条 ”信息 安全 事件 的 责任 界定 流程 如 下 : 
、 事 件 认 定 应 当 进 行 必要 的 取证 。 
二 、 因 软 硬 件 故障 引发 的 事件 ， 应 会 同 供应 商 共 同调 查 ， 界 定 责任 。 
三 、 因 通信 线路 故障 导致 的 事件 ， 应 会 同 电 信和 运营 商 共 同调 查 ， 界 定 责任 。 
四 、 因 人 员 操 作 失 误导 致 的 事件 ， 应 会 同 科技 信 息 部 及 事件 发 生 部 门 的 有 关 人 员 调 
， 界 定 责任 。 
第 二 十 三 条 下 列 情况 事件 当事人 可 以 免责 : 
一 、 因 不 可 抗力 引发 的 技术 事件 。 
二 、 因 软 硬 件 故 障 导 致 的 技术 事件 ， 经 技术 专家 论证 ， 确 认 信息 系统 建设 和 管理 符 
合 相关 要 求 ， 确 属 小 概率 或 偶发 性 事件 。 

三 、 因 外 方 原因 导致 的 交易 中 断 。 
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四 、 其 他 经 事件 认定 工作 组 确认 可 以 免责 的 情况 。 
第 四 节 ”安全 弱点 报告 
第 二 十 四 条 “对 于 观察 到 的 或 有 怀疑 的 信息 安全 弱点 ， 本 行 员工 或 外 部 人 员 应 及 时 
报告 给 科技 信息 部 相关 人 员 ， 经 科技 信息 部 负责 人 批准 后 ， 由 相关 的 技术 人 员 进 行 处 
置 ， 重 大 问题 处 理 须 报信 息 安全 管理 领导 小 组 审批 ， 并 做 好 登记 备案 工作 。 
第 二 十 五 条 信息 科技 应 急 处 置 领导 小 组 负责 跟踪 已 备案 的 信息 安全 弱点 处 置 


情况 。 
第 二 十 六 条 ”未 经 授权 ， 任 何人 禁止 利用 任何 方法 去 证 明 被 怀疑 的 信息 安全 弱点 。 


第 四 章 附 则 


第 二 十 七 条 ”本 办 法 由 本 行 负责 制定 、 解 释 和 修改 。 
第 二 十 八条 ”本 办 法 上 自 发 布 之 日 起 施行 。 
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随 着 技术 的 不 断 发 展 ， 银 行业 的 竞争 也 愈 发 激烈 。 银 行 越 来 越 依赖 于 计算 机 系统 ， 
因为 这 里 保存 着 维系 生存 、 参 与 竞争 的 重要 资产 一 一 各 种 信息 资源 。 信 息 科 技 为 银行 业 
提供 了 广阔 的 业务 发 展 空间 和 持续 创新 能 力 ， 同 时 ， 也 带 来 了 诸多 风险 ， 如 系统 故障 、 
网 络 故障 、 电 力 中 断 、 人 为 操作 失误 等 。 这 些 风 险 轻 则 降低 银行 的 服务 水 平 、 阻 碍 业务 
的 正常 运营 ， 重 则 导致 大 范围 、 长 时 间 停 业 ， 使 银行 面临 信用 危机 及 不 良 社会 影响 。 对 
银行 而 言 ， 计 算 机 系统 失效 无 疑 是 一 场 灾 难 。 本 章 主 要 讲述 了 业务 连续 性 与 灾难 恢复 管 
理 的 现状 与 思考 、 灾 难 恢复 管理 流程 及 业务 连续 性 与 灾难 恢复 管理 在 我 国 商业 银行 的 使 
用 案例 。 


11.1 业务 连续 性 与 灾难 恢复 概述 


现 如 今 ， 灾 难 恢复 能 力 已 成 为 评价 一 家 银行 安全 性 的 重要 指标 。 当 发 生 区 域 性 灾难 
时 ， 如 果 某 家 银行 可 以 一 术 独 秀 地 迅速 恢复 对 外 服务 ， 其 竞争 力 必然 得 到 凸显 。 像 类 似 
美国 “9. 11” 灾 难事 件 ， 银 行 灾 备 能 力 与 机 制 变 成 首当其冲 。 同 样 ， 当 面临 非 区 域 性 
灾难 时 ， 如 果 某 家 银行 无 法 从 个 体 灾 难 中 迅速 恢复 业务 ， 即 会 显露 其 在 灾难 体系 建设 和 
管理 上 存在 的 问题 。 如 何 建设 好 业务 连续 性 与 灾难 恢复 管理 体系 已 经 成 为 各 家 银行 一 个 
重要 的 课题 。 

20 地 纪 90 年 代 早期 ， 业 务 连 续 性 和 灾难 恢复 管理 主要 定位 于 信息 技术 灾难 恢复 ， 
它 主要 提供 在 自然 灾难 和 关键 部 件 故 障 时 通过 在 备份 站 点 恢复 技术 资产 (如 系统 、 网 
络 和 数据 )。 这 时 典型 的 恢复 时 间 目 标 (Recovery Time Objective，RTO) 是 指 灾难 发 生 
后 ,系统 和 数据 必须 恢复 到 的 时 间 点 要 求 ， 它 代表 了 当 灾 难 发 生 时 允许 丢失 的 数据 量 ， 
如 恢复 应 用 的 预期 时 间 大 约 是 3 天 ; 典型 的 恢复 点 目标 ( Recovery Point Objective， 
RPO) 是 指 灾难 发 生 后 ， 信 息 系 统 或 业务 功能 从 停顿 到 必须 恢复 的 时 间 要 求 ， 它 代表 了 
系统 恢复 的 时 间 ， 如 可 接受 的 交易 损失 大 约 是 24 小 时 。 它 所 应 用 的 主要 组 织 机 构 是 高 
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度 规范 的 行业 〈 银 行 等 金融 服务 行业 ) 。 

到 了 20 世纪 90 年 代 中 期 ， 组 织 机 构 开 始 将 其 业务 连续 性 和 灾难 恢复 计划 加 入 业务 
过 程 保护 ， 同 时 开始 开发 恢复 计划 。 此 时 ， 整 个 业务 持续 性 计划 和 灾难 恢复 计划 的 框架 
仍 没有 大 的 改动 , RTO 和 RPO 要 求 也 没有 什么 大 的 改动 。 

到 了 20 世纪 90 年 代 后 期 ， 为 了 应 对 千年 虫 问 题 ， 银 行业 开始 重新 组 织 、 评 估 和 投 
资 其 业务 过 程 和 业务 持续 性 计划 。 传 统 的 3 天 恢复 时 间 开 始 变 得 不 能 满足 需要 了 ， 对 于 
那些 使 命 关键 的 应 用 ， 其 RTO 开始 减少 至 小 于 24 小 时 ，RPO 通常 开始 设置 为 灾难 发 生 
点 (没有 工作 或 交易 损失 )。 随 着 互联 网 和 电子 商务 的 发 展 ， 银 行内 部 处 理 系统 与 外 部 
服务 提供 商 、 合 作 伙 伴 以 及 客户 相关 联 度 日 益 加 强 ， 对 业务 持续 性 产生 了 更 高 的 要 求 。 
RTO 和 RPO 的 要 求 进一步 减少 至 0 (意味 着 没有 宕 机 时 间或 7 x24 小 时 业务 过 程 可 用 
性 ) 。 此 时 ， 随 着 新 的 风险 的 增加 ， 业 务 恢复 计划 和 灾难 恢复 计划 必须 开始 处 理 一 些 新 
的 领域 ， 如 运行 维护 风险 (重要 支持 网 站 不 可 用 ) 、 安 全 风险 (如 DoS 攻击 )、 合 作 伙 
伴 / 外 包 商 不 可 用 等 。 

现在 的 业务 连续 性 管理 /灾难 恢复 管理 更 加 强调 了 对 业务 的 支持 。 严 格 地 说 ， 业 务 
连续 性 管理 /灾难 恢复 管理 包括 一 系列 管理 的 概念 ， 如 业务 连续 性 计划 、 业 务 恢复 计划 、 
运行 连续 性 计划 、 事 件 响应 计划 、 人 员 紧 急 计 划 、 和 危机 沟通 计划 和 灾难 恢复 计划 等 。 在 
美国 NIST 800-34 信息 技术 系统 连续 性 计划 指南 中 给 出 了 相关 的 定义 。 

(1) 业务 连续 性 计划 (Business Continuity Plan，BCP) 业务 连续 性 计划 强调 在 中 
断 发 生 或 发 生 后 维持 组 织 机 构 的 业务 功能 。 业 务 功 能 的 实例 可 能 是 组 织 机 构 的 工资 
单 过 程 或 客户 信息 过 程 。 一 个 业务 连续 性 计划 可 能 用 于 某 个 特定 的 业务 过 程 或 用 于 
解决 所 有 的 关键 业务 过 程 。 在 业务 连续 性 计划 中 对 信息 系统 的 考虑 仅 限 于 他 们 对 业 
务 过 程 的 支持 。 在 某 些 情况 下 ,业务 连 线 性 计划 可 能 不 会 解决 过 程 的 长 期 恢复 和 返 
回 至 正常 操作 ， 而 仅仅 覆盖 了 过 渡 期 的 业务 连续 性 要 求 。 可 以 将 灾难 恢复 计划 、 业 
务 恢复 计划 和 人 员 紧 急 计 划 附 在 业务 连续 性 操作 计划 (COOP ) 中 的 相关 设 定 相 协调 
以 减少 可 能 的 冲突 。 

(2) 业务 恢复 计划 (Business Recovery Plan，BRP) 也 称 为 业务 重启 计划 ( Busi- 
ness Resumption Plan ) ， 它 是 解决 在 紧急 事件 发 生 后 的 恢复 业务 过 程 。 同 业务 连续 性 计 
划 不 同 的 是 ， 业 务 恢复 计划 通常 缺少 确保 整个 紧急 事件 或 中 断 时 确保 关键 过 程 连续 性 的 
流程 。 业 务 恢复 计划 的 开发 应 同 灾难 恢复 计划 和 业务 连续 性 计划 相 协 调 ， 业 务 恢复 计划 
可 以 附 在 业务 连续 性 计划 中 。 

(3) 业务 连续 性 操作 计划 (Continuity of Operations Plan，COOP)” 它 强调 在 备用 场 
所 恢复 组 织 机 构 的 (通常 是 一 个 总 部 元 素 ) 关键 功能 并 在 返回 至 正常 操作 前 最 多 执行 
30 天 的 功能 。 因 为 运行 连续 性 计划 解决 的 是 总 部 级 的 问题 ， 它 的 开发 和 执行 独立 于 业 
务 连续 性 计划 。COOP 的 标准 元 素 包 括 职 权 授 权 描 述 、 继 任 的 顺序 、 关 键 记录 和 数据 
库 。 因 为 COOP 强调 组 织 机 构 在 备用 场所 恢复 组 织 机 构 运 行 能 力 ， 此 计划 不 是 必须 要 求 
包含 信息 技术 操作 。 另 外 ， 小 的 并 不 需要 重 定位 至 备用 场所 的 中 断 也 不 在 运行 连续 性 计 
划 的 考虑 范围 之 内 。 
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(4) 支持 连续 性 计划 /信息 技术 连续 性 计划 ”连续 性 支持 计划 是 信息 技术 连续 性 计 
划 的 同义词 。 因 为 信息 技术 连续 性 计划 也 可 以 开发 用 于 每 一 个 主要 应 用 和 通用 支持 系 
统 ， 在 组 织 机 构 的 业务 连续 性 计划 BCP 中 可 以 维护 多 个 连续 性 计划 。 

(5) 危机 沟通 计划 (Crisis Communications Plan，CCP) ”组 织 机 构 应 在 灾难 前 准备 
内 部 和 外 部 沟通 流程 ， 它 所 开发 的 危机 沟通 流程 通常 用 于 公众 服务 。 人 危机 沟通 计划 流程 
应 同 所 有 其 他 计划 进行 协调 ， 以 确保 只 有 得 到 批准 的 描述 和 声明 才能 发 布 给 公众 。 计 划 
流程 应 包含 至 业务 连续 性 计划 的 附录 。 沟 通 计划 通常 指定 特定 人 员 作 为 唯一 的 向 公众 解 
释 有 关 灾 难 响应 情况 的 授权 人 员 ， 它 可 能 也 包括 将 状态 通报 至 公众 的 流程 。 新 闻 发 布 的 
模板 应 包含 至 计划 中 。 

(6) 计算 机 事件 响应 计划 (Cyber Incident Response Plan) 组织 机 构 应 建立 解决 信 
息 技术 系统 受到 网 络 攻击 时 的 流程 。 这 些 流程 是 用 于 让 安全 人 员 能 对 恶意 计算 机 事件 进 
行 标识 、 缓 解 和 恢复 ， 如 对 系统 和 数据 的 非 授权 访问 、 拒 绝 服 务 攻 击 、 对 系统 硬件 或 软 
件 的 非 授权 修改 〈 如 蠕虫 、 木 马 病毒 等 恶意 代码 ) 。 此 计划 可 以 包含 在 业务 连续 性 计划 
的 附录 中 。 

(7) 灾难 恢复 计划 (Disaster Recovery Plan ，DRP) 正如 其 名 字 ， 该 计划 应 用 于 严 
重 事 件 ， 通常 是 灾难 性 事件 ， 这 种 事件 将 在 一 段 较 长 时 间 内 阻止 对 正常 设施 的 访问 。 通 
常 ， 灾 难 恢复 计划 指 的 是 发 生 紧急 事件 后 ， 在 备用 场所 恢复 目标 系统 、 应 用 或 计算 机 设 
施 的 以 信息 技术 为 核心 的 计划 。 灾 难 恢复 计划 会 同 信息 技术 连续 性 计划 有 所 交大， 但 是 
灾难 恢复 计划 的 范围 更 罕 ， 并 且 不 讨论 那些 不 需要 重 定位 的 小 中 晰 。 

(8) 人 员 紧 急 计 划 (Occupant Emergency Plan，OEP) 该 计划 是 为 某 一 个 特定 设 
施 内 的 人 员 制 定 相应 的 响应 流程 ， 以 应 对 人 员 、 环 境 或 财产 的 健康 和 安全 产生 危害 的 事 
件 。 这 些 事件 可 能 包括 火灾 、 犯 罪 攻击 或 医学 紧急 事件 。 人 员 紧 急 计划 是 设施 级 ， 特 定 
于 地 理 位 置 和 建筑 的 结构 化 设计 。 


11.2 我 国 银行 业务 连续 性 /灾难 恢复 管理 的 现状 与 思 


经 济 全 球 化 和 金融 市 场 的 开放 加 速 ， 加 剧 了 国内 外 银行 业 的 苋 争 格局 ， 金 融 危 机 的 
洗礼 使 得 国际 、 国 内 经 济 和 人 金融 环境 变 得 愈加 复杂 ， 如 何在 日 趋 激烈 的 市 场 范 争 中 实现 
银行 业 金融 机 构 的 持续 发 展 ， 如 何在 愈加 恶劣 的 生存 环境 和 更 为 复杂 的 技术 应 用 条 件 
下 ， 增 强 金融 机 构 应 对 灾难 及 突 发 事件 的 能 力 ， 保 障 业 务 连续 性 运营 ， 成 为 国内 银行 业 
金融 机 构 面 临 的 重点 和 难点 问题 。 

简单 来 讲 ， 业 务 连续 性 是 指 在 中 断 或 灾难 发 生 时 仍然 保持 服务 的 能 力 ， 无 论 是 由 网 
络 连 接 、 服 务 器 中 断 ， 还 是 应 用 程序 瘫痪 所 导致 的 中 断 。 对 银行 和 金融 机 构 而 言 ， 原 则 
上 ， 重 要 业务 恢复 时 间 目 标 不 得 大 于 4 小 时 ， 重 要 业务 恢复 点 目标 不 得 大 于 半 小 时 。 如 
今 我 国 银行 业 在 主 备 方式 的 基础 上 ， 正 逐步 向 双 活 、 多 活 的 模式 发 展 ， 以 同城 和 异地 灾 
备 的 方式 来 保护 其 宝贵 的 资产 一 一 数据 。 
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11.2.1 我 国 银行 业务 连续 性 管理 的 现状 


近年 来 ， 我 国 银行 业 业务 发 展 迅 猛 ， 大 型 银行 的 资本 总 额 、 开 户 数量 、 业 务 处 理 量 
已 位 居 世 界 前 列 ， 经 营 范 围 遍及 全 国 并 在 国外 快速 扩张 ， 一 旦 业务 停顿 ， 可 能 影响 全 行 
乃至 整个 金融 体系 的 正常 运转 ， 并 影响 社会 稳定 。 因 此 ， 在 数据 大 集中 后 ， 国 家 、 银 行 
业 监 管 机 构 及 银行 企业 自身 对 灾难 恢复 、 业 务 连续 管理 的 重视 程度 越 来 越 高 。 一 方面 ， 
政府 、 央 行 及 银监会 对 于 银行 机 构 的 应 急 管理 和 业务 连续 运作 提出 了 更 为 明确 、 更 为 细 
致 的 要 求 ; 另 一 方面 ， 银 行 自 身 也 在 积极 推进 灾难 恢复 、 应 急 管 理 和 信息 技术 服务 持续 
性 管理 有 关 工 作 ， 逐 步 完善 业务 连续 性 预案 。 

1) 初步 构建 了 信息 系统 应 急 管 理 体 系 。 确 立 了 应 急 管理 组 织 架 构 ， 区 分 信息 系统 
突 发 事件 等 级 ， 形 成 统一 的 应 急 响 应 流程 和 通知 报告 程序 。 并 注重 与 地 方 政府 、 新 闻 媒 
体 的 沟通 协调 ， 加 强 机 构 内 部 各 职能 部 门 的 协调 配合 ， 及 时 向 公众 披露 信息 ， 增 强 了 突 
发 事件 的 应 对 处 置 能 

2) 积极 开展 灾难 备份 系统 建设 工作 。 按 照 “ 统 筹 规划 、 资 源 共享 、 平 战 结合 ”的 
原则 ， 大 型 和 股份 制 银 行 积极 推进 “两 地 三 中 心 ”的 建设 ， 建 立 了 同城 和 异地 灾 备 中 
心 ， 应 对 建筑 类 故障 和 区 域 性 (如 地 震 、 洪 灾 、 战 争 等 ) 灾难 。 大 多 数 商 业 银 行 基本 
建立 了 核心 业务 的 灾难 恢复 系统 ， 保 障 核心 业务 数据 安全 和 灾难 发 生 时 核心 业务 的 
恢复 。 

3) 提升 危机 处 理 能 力 。 积 极 开展 应 急 演练 和 灾难 恢复 演练 ， 加 强 银行 内 部 各 部 
门 ， 以 及 银行 与 通讯 、 电 力 等 外 部 机 构 的 联防 协作 。 实 施 了 包括 核心 系统 在 内 的 重要 业 
务 系统 切换 演练 ， 提 高 银行 应 对 信息 系统 突 发 事件 的 能 力 和 信心 。 

但 整体 来 看 ,我 国 银行 业 在 业务 连续 性 管理 方面 依然 存在 一 些 不 足 。 

一 是 对 业务 连续 性 管理 的 重要 性 和 价值 认识 不 足 ， 尚 未 形成 有 效 的 业务 持续 管理 管 
理 体系 。 部 分 银行 对 业务 持续 性 管理 缺乏 必要 的 理解 ， 认 为 “投入 大 、 收 益 小 ” ， 对 金 
融 服务 的 持续 性 与 公众 生活 、 经 济 社会 正常 运转 的 紧密 关系 缺乏 足够 的 认识 ， 银 行 改 善 
业务 持续 管理 的 动力 大 多 来 自 国家 或 监管 政策 压力 ， 主 观 意愿 不 足 ， 将 业务 持续 性 管理 
等 同 于 信息 系统 的 灾难 恢复 、 日 常 故障 处 置 的 模糊 意识 大 量 存在 ， 参 与 的 多 为 信息 技术 
部 门 、 部 分 人 员 ， 业 务 连 续 性 计划 仅 作 为 事件 处 理 的 应 急 预 案 ， 未 建立 起 业务 持续 管理 
的 管理 组 织 体系 ， 业 务 持 续 管理 依然 游离 在 企业 的 日 常 经 营 管理 活动 之 外 。 

二 是 应 急 预 案 体系 不 够 完整 ， 业 务 应 急 机 制 奸 乏 ， 外 部 应 急 协 调 不 足 。 大 多 数 银行 
没有 业务 层面 应 急 管理 机 制 的 开发 和 演练 ， 场 地 应 急 、 人 员 应 急 等 业务 持续 管理 的 重要 
环节 缺乏 实质 性 的 建设 。 信 息 系 统 应 急 预 案 流 于 形式 ， 不 少 银行 对 业务 连续 性 的 认识 不 
足 ， 认 为 业务 连续 性 就 是 信息 系统 应 急 恢 复 ， 就 是 科技 部 门 的 责任 ， 没 有 在 全 行 层面 建 
立 整 体 管理 体系 ,缺乏 科技 与 业务 、 公 关 等 部 门 的 联动 ， 缺 少 业 务 应 急 手 段 和 客户 安 
抚 、 媒 体 公关 等 处 理 措 施 。 业 务 部 门 配合 不 足 、 业 务 人 员 参 与 力度 不 大 、 业 务 覆 盖 面 不 
全 , 一 旦 出 现 意 外 ， 应 急 预 案 可 能 无 法 发 挥 作用 ， 与 外 部 机 构 (如 政府 机 构 、 公 共事 
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业 机 构 、 银 行 同 业 、 外 部 合作 金融 服务 机 构 等 ) 的 协作 联动 不 足 。 多 数 银 行业 务 连 续 
性 演练 仅 停留 在 信息 科技 层面 ， 缺 乏 涵盖 业务 、 技 术 和 后 勤 保 障 等 多 方面 的 全 行 性 演 
练 ， 导 致 应 急 和 灾 备 能 力 有 效 性 无 法 得 到 验证 。 

三 是 业务 的 灾难 恢复 目标 不 明确 、 信 息 系 统 灾 备 覆 盖 面 不 够 、 灾 备 资源 的 有 效 性 保 
障 不 足 ， 存 在 缺乏 风险 评估 和 业务 影响 分 析 ， 缺 乏 对 业务 中 断 损 失 与 灾 备 建设 投入 的 成 
本 效益 测算 ， 导 致 灾 备 系统 、 科 技 应 急 体 系 建设 盲目 投入 、 缺 乏 规划 ， 灾 备 系 统 覆 盖 不 
足 等 问题 。 虽 然 银行 大 多 已 建立 了 灾 备 中 心 ， 但 是 业务 分 类 分 级 及 差异 化 的 业务 恢复 目 
标 还 不 十 分 明确 ， 部 分 银行 灾 备 中 心 只 停留 在 核心 账 务 数据 保护 的 层面 ， 一 旦 发 生 灾 
难 ， 很 难 实现 重要 交易 渠道 的 恢复 、 重 要 客户 及 交易 数据 的 恢复 。 灾 备 切换 演练 未 能 真 
正 贴近 实战 ， 灾 备 人 员 配 置 、 系 统 演练 有 效 性 验证 等 方面 存在 不 足 。 


11.2.2 加 强 银行 业务 连续 性 管理 的 意义 


言 息 科技 连续 运作 的 根本 目标 是 保障 业务 的 持续 性 ， 商 业 银 行 更 应 从 业务 角度 出 
发 ， 以 业务 持续 为 目标 ， 形 成 应 对 突 发 事件 、 灾 害 灾难 的 各 部 门 协同 管理 体系 ， 加 强项 
层 设计 。 随 着 经 济 、 金 融 全 球 化 和 信息 技术 的 发 展 加 速 ， 信 息 科技 的 广泛 应 用 使 得 金融 
机 构 之 间 的 关联 度 大 大 提升 ， 各 个 国家 金融 机 构 间 的 外 部 依赖 度 也 不 断 加 强 ， 单 家 机 构 
的 故障 可 能 使 关联 金融 机 构 遭 受 损失 ， 并 且 风 险 扩散 的 速度 更 快 、 范 围 更 大 ， 外 部 性 大 
大 增强 ， 因 此 推动 和 加 强 银行 业 的 业务 连续 性 体系 建设 ， 从 全 行 层 面 进行 规划 ， 进 一 步 
加 强 整体 业务 连续 性 规范 和 深层 次 机 制 建设 ， 实 现 对 各 种 事故 和 灾难 的 有 效应 对 ， 维 护 
正常 的 经 济 金融 运行 秩序 非常 迫切 。 

从 长 远 来 看 ， 业 务 持续 管理 的 价值 并 非 仅仅 是 企业 应 对 灾难 、 提 高 生存 能 力 的 工 
具 ， 在 许多 发 达 国 家 金融 行业 ， 业 务 持续 管理 已 成 为 改善 经 营 管理 、 承 担 社 会 责任 的 基 
本 准则 ， 是 银行 提高 风险 预测 和 快速 应 对 能 力 ， 适 应 需求 变化 和 威胁 ， 保 持 欧 争 优势 的 
重要 基础 。 可 以 说 ， 业 务 连 续 性 管理 直接 关系 到 中 国 银行 业 的 国际 竞争 力 ， 对 整个 行业 
长 期 、 可 持续 的 健康 发 展 具 有 深远 的 意义 。 


11.2.3 《商业 银行 业务 连续 性 监管 指引 》 解读 


银监会 在 充分 借鉴 新 加 坡 金 管 局 《SINGAPORE STANDARD SS 507》、 英 国 《BSI 
PAS 56》 及 一 些 国际 先进 银行 的 业务 连续 性 管理 经 验 基础 上 ， 结 合 我 国 国情 和 商业 银 
行 实际 情况 ， 于 2011 年 12 月 28 日 正式 发 布 了 《商业 银行 业务 连续 性 监管 指引 》( 银 
监 发 [2011] 104 号 ) (下 称 《 指 引 》)。 

1. 《指引 》 的 主要 内 容 和 要 求 

《指引 》 以 提高 商业 银行 业务 连续 性 管理 能 力 ， 降 低 业务 中 断 产生 的 影响 ， 快 速 恢 
复业 务 为 目标 ， 要 求 商业 银行 建立 业务 连续 性 管理 体系 ， 规 范 了 相关 组 织 架构 和 工作 流 
程 ， 明 确 了 业务 影响 分 析 、 风 险 评估 的 方法 和 工作 重点 ， 对 业务 连续 性 计划 的 内 容 、 演 
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练 ， 业务 中 断 事件 的 应 急 处 置 过 程 提出 了 有 具体 要 求 ， 推 动 商业 银行 加 强 各 部 门 的 协同 保 
障 ， 建 立业 务 连续 性 管理 持续 改进 机 制 。《 指 引 》 更 加 强调 商业 银行 在 应 对 业务 运营 中 
断 事件 时 进行 统筹 管理 ,促进 各 部 门 的 协同 ， 提 高 应 急 的 能 力 。 同 时 ， 还 明确 了 银监会 
应 对 商业 银行 业务 运营 中 断 事 件 的 应 急 处 置 方法 和 流程 ， 强 化 了 监管 机 构 与 银行 间 、 金 
融 同业 间 、 监 管 机 构 与 外 部 其 他 部 门 间 的 应 急 协 同 。《 指 引 》 包 括 以 下 几 个 方面 : 

1) 总 则 要 求 与 组 织 体系 。 在 总 则 中 提出 了 业务 连续 性 管理 的 内 容 、 目 标 、 范 围 及 
原则 ， 强 调 以 履行 社会 责任 为 开展 业务 连续 性 管理 活动 的 基本 原则 ， 不 能 仅 单纯 从 银行 
业务 收益 角度 考虑 ， 并 强调 以 人 为 本 、 重 要 业务 优先 保障 、 内 外 部 门 间 的 协同 等 原则 。 
商业 银行 应 当 将 业务 连续 性 管理 纳入 全 面 风 险 管理 体系 ， 建 立业 务 连 续 性 日 常 组 织 架 构 
和 应 急 管 理 组 织 架 构 ， 商 业 银 行 芋 ( 理 ) 事 会 应 作为 业务 连续 性 管理 的 决策 机 构 ， 承 
担 最 终 责 任 。《 指 引 》 强 调 商业 银行 应 建立 业务 持续 管理 (Business Continuity Manage- 
ment，BCM) 的 组 织 框架 ,设立 负责 BCM 的 部 门 并 能 从 整体 上 协调 全 行 其 他 部 门 ， 该 
部 门 应 为 风险 部 或 办 公 室 等 综合 管理 部 门 而 非 信 息 科 技 部 门 。 在 BCM 组 织 框架 下 ， 业 
务 和 科技 部 门 应 作为 业务 连续 性 的 执行 部 门 ， 尤 其 是 业务 部 门 应 负责 设 定 业务 恢复 指 
标 、 创 立业 务 恢复 计划 、 建 立业 务 恢复 资源 等 ， 强 调 了 以 业务 为 主体 的 连续 性 管理 职能 
及 业务 部 门 在 全 行业 务 连续 性 建设 中 的 义务 和 重要 作用 。 

2) 业务 影响 分 析 。 强 调 业务 连续 性 管理 是 对 银行 业务 的 识别 、 分 析 、 量 化 指标 的 
过 程 ， 是 制定 业务 连续 性 管理 的 策略 及 规划 的 重要 手段 。 业 务 影响 分 析 应 从 识别 重要 业 
务 人 手 ， 明 确 重要 业务 的 归口 部 门 ， 量 化 业务 中 断 对 银行 的 影响 ， 分 析 业 务 恢复 指标 ， 
明确 业务 运作 所 依赖 的 关键 资源 中 断 的 影响 范围 及 恢复 指标 。 商 业 银 行 在 业务 影响 分 析 
过 程 中 ， 应 关注 业务 部 门 与 业务 条 线 之 间 的 对 应 关系 ， 关 注 业 务 之 间 的 依赖 关系 ， 关 注 
重要 业务 与 关键 资源 的 对 应 关系 。《 指 引 》 明确 提出 商业 银行 重要 业务 恢复 时 间 目 标 与 
恢复 点 的 指标 要 求 ， 重 要 业务 恢复 时 间 要 求 包括 资源 恢复 时 间 和 处 置 决策 过 程 、 业 务 验 
证 过 程 等 。 

3) 业务 连续 性 计划 与 资源 建设 。 商 业 银 行 应 建立 覆盖 所 有 重要 业务 和 应 对 大 范围 
业务 运营 中 断 的 总 体 应 急 预 案 ， 以 及 针对 不 同 场 景 的 专项 应 急 预 案 ， 应 注重 总 体 应 急 预 
案 与 专项 应 急 预 案 之 间 的 关系 ， 业 务 预案 应 关注 与 其 他 预案 之 间 的 衔接 ， 做 到 全 行 应 急 
“一 盘 棋 ”， 并 将 外 部 供应 商 、 金 融 同业 及 其 他 外 部 机 构 纳 入 业务 连续 性 计划 范围 。 在 
业务 连续 性 计划 所 需 资 源 建设 方面 ， 不 仅 要 加 强 在 应 急 及 恢复 过 程 中 的 备份 资源 建设 ， 
还 应 加 强 信息 系统 在 日 常生 产 中 的 高 可 用 性 建设 ,减少 系统 中 断 的 概率 。 

4) 业务 连续 性 演练 与 持续 改进 ， 它 是 业务 连续 性 计划 、 预 案 、 资 源 是 否 有 效 的 验 
证 和 保障 。 一 方面 ， 商 业 银行 要 保障 演练 的 计划 性 与 针对 性 ， 应 把 演练 作为 一 项 日 常 工 
作 来 有 计划 的 、 定 期 开展 ， 要 针对 重要 业务 中 断 场 景 、 重 大 业务 活动 、 重 大 社会 活动 等 
关键 时 点 开展 演练 ， 另 一 方面 ， 要 保障 演练 的 实 操 性 与 全 面 性 ， 商 业 银行 应 注重 以 真实 
业务 接管 为 目标 ， 开 展 全 行 性 演练 并 将 外 部 供应 商 、 基 础 设施 保 隐 单位 等 纳入 演练 范 
畴 ， 三 年 内 应 实现 所 有 重要 业务 的 演练 全 覆盖 。 在 评估 与 改进 方面 ， 商 业 银 行 应 做 到 评 
估 与 审计 、 内 外 部 评 佑 、 全 面 与 专项 审计 相 结合 ， 及 时 发 现 问题 和 改进 。 
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5) 运营 中 断 事件 应 急 处 置 。 首 先 ， 在 业务 的 监测 与 预警 方面 ， 商 业 银 行 需 建 立 自 
动 化 、 智 能 化 的 监测 手段 ， 从 单纯 信息 系统 监测 向 业务 监测 发 展 ， 从 被 动 监控 到 主动 监 
控 ， 加 强 关键 业务 时 点 的 系统 压力 监测 ， 建 立 科 技 与 业务 部 门 间 、 银 行 与 外 部 单位 间 的 
风险 信息 提示 与 共享 。 其 次 ， 在 事件 处 置 阶段 ， 不 仅 要 按照 一 体 化 应 急流 程 ， 对 事件 实 
施 分 级 分 类 处 置 ， 更 应 关注 业务 应 急 处 置 措施 的 运用 。 要 按照 业务 应 急 预案 ， 通 过 减少 
服务 功能 、 缩 小 服务 范围 ， 保 障 关 键 、 紧 急 的 业务 处 理 ， 或 利用 替代 系统 、 手 工 记 账 、 
分 支 机构 或 他 行 支付 渠道 等 手段 进行 业务 应 急 处 置 ， 加 强 对 外 沟通 ， 最 大 程度 降低 负面 
影响 ， 而 非 一 味 等 待 信息 系统 的 恢复 。 再 次 ， 在 应 急 及 灾难 恢复 中 ， 银 行 应 加 强 危 机 管 
理 ， 指 派 专 门 的 部 门 负责 危机 处 理 ， 加 强 奥 情 监测 、 信 息 沟 通 和 发 布 ， 以 消除 或 降低 负 

影响 。 国 外 经 验 表 明 ， 发 生 重大 事件 后 ,一 些 银 行 不 是 因为 中 断 造成 的 损失 而 难以 为 
继 ， 而 是 因为 丢掉 了 客户 的 信任 、 形 失信 誉 才 逐 步 走向 衰落 。 

《指引 》 旨 在 “强化 事前 监管 要 求 、 建 立 事 中 处 理 流程 、 明 确 事后 报告 路 径 ” ， 它 
是 银监会 在 日 常 监管 与 银行 突 发 事件 处 置 中 的 指导 与 监管 工具 ， 也 是 目前 我 国 在 “ 业 
务 连 续 性 ”管理 领域 的 第 一 份 监管 指引 。 

2. 各 商业 银行 加 强 业 务 连 续 性 管理 的 建议 

各 商业 银行 在 积极 推进 《商业 银行 业务 连续 性 监管 指引 》 的 贯彻 落实 过 程 当中 ， 
应 积极 加 快 建立 和 完善 银行 业 金融 机 构 业 务 连 续 性 管理 体系 ， 充 分 借鉴 和 引进 国际 先进 
实践 和 标准 规范 ， 加 强 组 织 建设 ， 明 确 责任 、 落 实 工作 职责 ， 科学 制订 业务 连续 性 计 
划 ， 系 统 地 推进 灾 备 系统 、 应 急 体 系 建设 ,积极 开展 应 急 演练 。 建 立 常 态 化 评估 维护 机 
制 ， 形 成 企业 的 业务 连续 性 管理 文化 ， 使 每 个 员工 建立 防 灾 意识 ， 自 觉 自愿 的 参与 到 银 
行 的 业务 连续 性 管理 各 流程 活动 中 。 

1) 加 大 力度 推进 银行 业 金 融 机 构 的 应 急 演练 工作 ， 积 极 开展 银行 业 行业 性 应 急 演 
练 和 金融 跨 业 应 急 演 练 工作 。 豆 励 金融 机 构 进 行业 务 连 续 性 管理 的 演练 活动 ， 组 织 协调 
由 金融 管理 部 门 、 基 础 设施 供应 商 和 多 个 金融 机 构 参 与 的 联合 演练 活动 ， 持 续 提 高 金融 
机 构 业 务 连 续 性 管理 的 实践 能 力 ， 增 强 我 国 金融 业 的 整体 业务 持续 性 能 

2) 加 强 与 行业 外 其 他 政府 部 门 的 应 急 协调 ， 建 立 有 效 的 应 急 协 作 联 动机 制 。 虽 然 
国家 各 有 关 部 门 建立 了 应 对 突 发 事件 的 应 急 预 案 和 组 织 机 构 ， 但 部 门 间 的 条 块 分 割 管理 
使 协调 较为 困难 ， 难 以 形成 合力 ， 极 大 地 影响 了 应 急 效能 。 在 金融 全 球 化 、 综 合 化 、 信 
息 化 发 展 的 大 趋势 下 ， 应 充分 借鉴 国外 先进 实践 。 对 内 ， 要 深入 推动 银行 、 证 券 、 保 险 
建立 有 效 的 应 急 联动 处 置 机 制 ， 制 定金 融 业 联合 应 急 预 案 ， 成 立 跨 业 的 应 急 处 置 小 组 ， 
加 强 信息 沟通 、 资 源 共 享 、 统 一 协调 ， 提 高 处 置 能 力 ; 对 外 ， 要 加 强 银行 与 电力 、 电 
信 、 公 安 等 部 门 的 信息 交流 ， 建 立 风险 监测 预警 机 制 ， 整 合 信息 源 ， 积 极 开展 风险 分 析 
和 预警 ; 制定 金融 业 与 其 他 政府 部 门 的 蜂 业 应 急 预 案 ， 提 高 行业 整体 的 应 对 突 发 事件 能 
力 和 水 平 。 

3) 建立 银行 业 业 务 持 续 性 管理 的 评估 和 持续 改进 机 制 。 要 建立 对 监管 部 门 、 银 行 
业 金 融 机 构 的 业务 持续 性 管理 计划 和 活动 的 评估 维护 程序 ， 发 现 问题 并 持续 改进 质量 。 
要 研究 建立 银行 业 金融 机 构 业 务 持续 性 管理 的 成 熟 度 模型 ， 促 使 银行 业 的 业务 持续 运作 
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能 力 从 初级 阶段 达到 高 度 协调 、 可 衡量 ， 具 备 高 度 成 熟 、 能 应 对 百年 一 遇 甚至 更 高 标准 
突 发 事件 的 能 力 。 


11.3 灾难 恢复 管理 的 组 织 结构 


《银行 业 信息 系统 灾难 恢复 管理 规范 》 中 要 求 组 织 机 构 设立 职责 ， 提 出 灾难 恢复 组 
织 机 构 应 分 为 决策 层 、 管 理 层 和 执行 层 ， 在 灾难 恢复 工作 中 ， 分 别 承 担 重 大 事宜 的 决 
策 、 恢 复工 作 的 管理 和 协调 、 恢 复工 作 的 具体 实施 等 不 同 职责 。 

银行 应 结合 其 日 常 组 织 机 构 的 具体 情况 建立 灾难 恢复 规划 组 织 机 构 ， 并 明确 其 职 
责 。 其 中 一 些 人 可 负责 两 种 或 多 种 职责 ， 一 些 职位 可 由 多 人 担任 〈 灾 难 恢复 预案 中 明 
确 他 们 的 继任 顺序 ) 。 

灾难 恢复 规划 的 组 织 机 构 由 管理 、 业 务 、 技 术 和 行政 后 勤 等 人 员 组 成 ， 分 为 灾难 恢 
复 规 划 领 导 小 组 、 灾 难 恢复 规划 实施 组 和 灾难 恢复 规划 日 常 运行 组 。 其 中 ， 实 施 组 的 人 
员 在 实施 任务 完成 后 可 成 为 日 常 运行 组 的 成 员 。 银 行 也 可 聘请 外 部 专家 协助 灾难 恢复 规 
划 工 作 ， 还 可 委托 外 部 机 构 承 担 实施 组 和 运行 组 的 部 分 或 全 部 工作 。 

灾难 恢复 管理 组 织 结构 的 职责 如 下 。 

1. 灾难 恢复 规划 领导 小 组 

灾难 恢复 规划 领导 小 组 是 实施 灾难 恢复 规划 工作 的 组 织 领导 机 构 ， 组 长 应 由 单位 高 
层 领导 担任 ， 领 导 和 决策 灾难 恢复 规划 重大 事宜 ， 其 主要 职责 如 下 : 

1) 审核 并 批准 经 费 预 算 。 

2) 审核 并 批准 灾难 恢复 策略 。 

3) 审核 并 批准 灾难 恢复 预案 。 

4) 组 织 灾 难 恢复 预案 的 测试 和 演练 。 

5) 批准 灾难 恢复 预案 的 执行 。 

2. 灾难 恢复 规划 实施 组 

灾难 恢复 实施 组 的 主要 职责 是 负责 : 

1) 灾难 恢复 的 需求 分 析 。 

2) 提出 灾难 恢复 策略 和 等 级 。 

3) 灾难 恢复 策略 的 实现 。 

4) 制定 灾难 恢复 预案 。 

3. 灾难 恢复 规划 日 常 运行 组 

灾难 恢复 日 党 运行 组 的 主要 职责 是 负责 : 

1) 灾难 备份 中 心 日 常 管理 。 

2) 灾难 备份 系统 的 运行 和 维护 。 

3) 灾难 恢复 的 技术 支持 。 
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4) 灾难 恢复 预案 的 教育 、 培 训 和 演练 。 

5) 维护 和 管理 灾难 恢复 预案 。 

6) 突 发 事件 发 生 时 的 损失 控制 和 损害 评估 。 
7) 灾难 发 生 后 信息 系统 和 业务 功能 的 恢复 。 
8) 灾难 发 生 后 的 外 部 协作 。 


11.4 灾难 恢复 管理 流程 


业务 连续 性 /灾难 恢复 管理 体系 建设 是 一 项 复杂 的 系统 工程 ， 需 要 充分 借鉴 国内 外 
先进 经 验 ， 遵 循 成 熟 的 标准 规范 ， 根 据 自身 组 织 机 构 特 点 和 信息 系统 建设 实际 情况 灵活 
建设 。 关 于 信息 系统 灾难 备份 与 恢复 ， 西 方 发 达 国 家 积累 了 丰富 的 经 验 ， 建 立 了 比较 成 
熟 的 标准 体系 ， 如 国际 灾难 恢复 协会 (DRII) 的 《业务 连续 性 规划 师 专业 实践 》、 信 息 
系统 审计 与 控制 协会 (SACA) 的 《COBIT 管理 指南 》 等 ; 我 国 也 制定 了 相关 的 标准 
规范 ， 如 《信息 安全 技术 信息 系统 灾难 恢复 规范 》 (CB/AT 20988 一 2007) 、《 信 息 安全 技 
术 信 息 安全 风险 评估 规范 》 (GB/AT 20984 一 2007) 等 。 

为 了 规范 和 引导 银行 业 信息 系统 灾难 恢复 工作 ， 有 效 防范 银行 业 信息 系统 风险 ， 保 
护 银行 业 客户 的 合法 权益 ， 中 国人 民 银 行 在 继承 国际 先进 标准 和 国家 标准 的 基础 上 ， 针 
对 银行 业 信息 系统 、 业 务 流程 、 组 织 体系 、 监 管 要 求 的 特点 ， 制 定 并 发 布 了 金融 行业 标 
准 《 银 行业 信息 系统 灾难 恢复 管理 规范 》 (JRAT 0044 一 2008 ) ， 该 标准 成 为 我 国 银行 业 
言 息 系统 灾 备 体系 建设 的 重要 指导 性 文件 。 

银行 信息 系统 的 灾难 恢复 工作 ,不 仅 包括 灾难 恢复 规划 和 灾难 备份 中 心 的 日 常 运 
行 ， 还 包括 灾难 发 生 后 的 应 急 响 应 、 关 键 业 务 功能 在 灾难 备份 中 心 的 恢复 和 重 续 运行 ， 
以 及 生产 系统 的 灾后 重建 和 回 退 工作 。 其 中 ， 灾 难 恢复 规划 是 一 个 周而复始 、 持 续 改进 
的 过 程 ， 包 含 以 下 几 个 阶段 。 

(1) 灾难 恢复 需求 的 确定 ”灾难 恢复 需求 分 析 步 又 包括 风险 分 析 (RA) 、 业 务 影 
响 分 析 (BIA) 和 确定 灾难 恢复 目标 3 个 子 步 又， 通过 需求 分 析 这 3 个 子 步骤 了 解 信 息 
系统 的 风险 ， 对 业务 进行 综合 考虑 并 确定 关键 业务 功能 及 恢复 的 优先 顺序 和 灾难 恢复 
RTOZRPO 灾难 恢复 时 间 范 围 指 标 。 

(2) 灾难 恢复 策略 的 制定 ”灾难 恢复 策略 制定 步骤 根据 风险 和 损失 平衡 的 原则 ， 
确定 每 项 关键 业务 功能 的 灾难 恢复 策略 ， 并 将 这 些 策略 正式 文档 化 。 

(3) 灾难 恢复 策略 的 实现 ”灾难 恢复 策略 实现 步骤 根据 灾难 恢复 的 策略 ， 选 择 和 
建设 灾难 备份 中 心 、 实 现 灾 备 系统 技术 方案 并 实现 其 技术 支持 和 维护 能 

(4) 灾难 恢复 预案 的 制定 、 落 实 和 管理 ”灾难 恢复 预案 的 制订 和 管理 步骤 负责 编 
制 灾难 恢复 预案 ， 对 灾难 恢复 预案 进行 教育 、 培 训 和 演练 ， 并 负责 灾难 恢复 预案 的 保 
存 、 分 发 及 维护 和 变更 管理 。 

这 些 步 又 代表 了 一 个 全 面 的 灾难 恢复 管理 能 力 的 关键 要 素 。 整 个 开发 过 程 的 责任 是 
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由 灾难 恢复 实施 组 所 具体 负责 。 
11.4.1 灾难 恢复 需求 分 析 


灾难 恢复 需求 分 析 需 要 从 风险 分 析 (RA) 、 业 务 影响 分 析 (BIA) 和 确定 灾难 恢复 
需求 3 个 方面 来 进行 分 析 。 

1. 风险 分 析 

风险 分 析 是 指标 识 信息 系统 的 资产 减 值 ， 识 别 信 息 系 统 面临 的 自然 的 和 人 为 的 威 
胁 ， 识别 信 息 系统 的 漏洞 ， 分 析 各 种 威胁 发 生 的 可 能 性 ， 并 定量 或 定性 描述 可 能 造成 的 
损失 。 通 过 技术 或 管理 手段 ， 防 范 或 控制 信息 系统 的 风险 。 依 据 防范 或 控制 风险 的 可 行 
性 和 残余 风险 的 可 接受 程度 ， 确 定 对 风险 的 防范 和 控制 措施 。 

(1) 确定 风险 分 析 目 标 ”银行 应 根据 长 期 可 持续 发 展 和 信息 化 建设 的 战略 目标 ， 
明确 风险 分 析 目 标 ， 全 面 识 别 信息 系统 灾难 风险 的 威胁 和 脆弱 性 。 

(2) 确定 风险 分 析 范围 

1) 根据 信息 系统 的 范围 和 特点 ， 全 面 识别 和 分 析 影 响 信 息 系统 正常 运行 的 灾难 风 
险要 素 。 

2) 根据 信息 系统 支持 业务 的 区 域 范 围 ， 分 析 信 息 系统 面临 的 区 域 性 灾难 风险 。 

3) 根据 业务 经 营 领域 ,分 析 信 息 系统 中 断 造成 的 金融 领域 关联 性 风险 。 

(3) 风险 分 析 的 方法 

1) 资产 识别 : 主要 包括 基础 设施 、 人 硬件、 软件 、 数 据 、 文 档 、 服 务 和 声誉 等 ， 银 
行 应 根据 资产 对 业务 正常 运作 的 不 同 影 响 程度 ， 确 定 资产 的 等 级 。 

2) 威胁 识别 : 指 对 信息 资产 构成 潜在 破坏 的 可 能 性 因素 ， 包 括 自 然 或 人 为 、 有 意 
或 无 意 、 可 控 或 不 可 控 等 。 

3) 脆弱 性 识别 : 脆弱 性 是 可 能 被 威胁 利用 的 信息 资产 弱点 。 脆 弱 性 识别 可 以 从 环 
境 、 业 务 、 网 络 、 系 统 、 应 用 等 层次 进行 识别 。 脆 弱 性 识别 的 依据 可 以 是 国际 或 国家 的 
安全 标准 ， 也 可 以 是 行业 规范 、 应 用 流程 的 安全 要 求 。 

4) 风险 计算 : 风险 计算 是 采用 适当 的 方法 与 工具 确定 威胁 利用 脆弱 性 导致 信息 系 
统 灾难 发 生 的 可 能 性 ， 如 根据 威胁 出 现 的 频率 及 脆弱 性 状况 ， 计 算 威 胁 利用 脆弱 性 导致 
灾难 发 生 的 可 能 性 ; 根据 资产 重要 程度 及 脆弱 性 严重 程度 ， 计 算 灾 难 发 生 后 的 损失 ; 根 
据 计 算出 的 灾难 发 生 的 可 能 性 及 灾难 的 损失 ， 计 算 风 险 值 ， 并 进行 风险 等 级 划分 等 。 

(4) 风险 控制 ”评估 现 有 安全 策略 和 措施 的 有 效 性 ， 确 定 信息 系统 仍然 可 能 存在 
的 风险 ， 即 残余 风险 。 

银行 应 根据 资产 等 级 及 残余 风险 发 生 的 概率 、 可 能 造成 的 损失 和 风险 防范 成 本 ， 评 
估 风 险 可 接受 的 程度 ， 确 定 可 接受 的 风险 。 针 对 不 可 接受 的 风险 ， 确 定 风 险 防 范 措 施 ， 
并 定期 评估 残余 风险 。 
业务 影响 分 析 
通过 风险 分 析 ， 得 到 存在 风险 的 组 织 机 构 业 务 系统 范围 ， 而 业务 影响 性 分 析 则 进 一 
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步 结合 业务 和 灾难 恢复 具体 要 求 ， 分 析 业 务 功 能 和 相关 资源 配置 并 评估 中 断 影响 ， 为 进 
一 步 制定 灾难 恢复 策略 提供 基础 和 依据 。 

(1 业务 功能 分 析 通过 业务 功能 分 析 ， 确 定 业 务 功能 的 关键 程度 ， 主 要 包括 : 

1) 政策 性 : 业务 功能 的 政策 要 求 。 

2) 业务 性 质 ， 核心 业务 或 非 核心 业务 。 

3) 业务 服务 范围 : 涉及 的 内 外 部 机 构 、 用 户 等 范围 。 

4) 数据 集中 程度 : 业务 数据 的 集中 与 处 理 的 集中 、 地 域 分 布 。 

5) 业务 时 间 敏 感性 ， 实时 与 非 实时 业务 、 业 务 运行 时 段 和 用 户 使 用 频 度 。 

6) 业务 功能 的 关联 性 : 与 其 他 业务 功能 及 其 他 机 构 业 务 功能 之 间 的 关联 程度 。 

(2) 评估 业务 中 断 影 响 

1) 分 析 业 务 功能 和 相关 资源 配置 : 分 析 单 位 的 各 项 业务 功能 及 各 项 业务 之 间 的 相 
关 性 ， 确 定 支 持 各 种 业务 功能 的 相应 信息 系统 资源 及 其 他 资源 ， 明 确 相 关 信 息 的 保密 
性 、 完 整 性 和 可 用 性 要 求 。 

2) 评估 中断 影 响 : 应 采用 定量 和 /或 定性 的 方法 ， 对 各 种 业务 功能 的 中 断 造 成 的 
影响 进行 评估 。 和 定量 分 析 是 以 量化 方法 ， 评 佑 业务 功能 的 中 断 可 能 给 单位 带 来 的 直接 经 
济 损失 和 间接 经 济 损失 ; 定性 分 析 是 以 非 量化 方法 ， 评 估 业 务 功能 的 中 端 可 能 对 国家 的 
政治 、 社 会 、 法 律 及 单位 内 部 事务 等 造成 的 影响 。 

业务 影响 分 析 是 灾难 恢复 管理 的 一 个 关键 步 又 ， 使 灾难 恢复 规划 实施 组 能 对 系统 要 
求 、 过 程 和 相互 依赖 性 进行 完全 的 特征 化 ， 并 且 使 用 这 些 信 息 确 定 连续 性 要 求 和 优先 
级 。 业 务 影响 分 析 的 目的 是 将 特定 的 系统 组 建 同 其 所 提供 的 关键 服务 相关 联 ， 并 基于 这 
些 信 息 特 征 化 中 断 对 系统 组 件 的 结果 。 业 务 影 响 性 分 析 得 出 的 结论 应 相应 综合 至 组 织 机 
构 的 灾难 备份 管理 策略 中 。 

3. 确定 灾难 恢复 需求 

言 息 技 术 系统 可 以 是 一 个 包含 各 种 组 件 、 接 口 和 进程 的 非常 复杂 的 系统 。 系 统 通常 
有 多 种 使 命 ， 因 此 对 系统 服务 或 能 力 的 重要 性 也 会 有 不 同 的 理解 。 业 务 影响 分 析 的 第 一 
个 步骤 是 评估 信息 技术 系统 ， 以 确定 由 系统 执行 的 关键 功能 并 标识 执行 它们 所 需 的 特定 
系统 资源 。 

(1) 确定 需求 等 级 首先 需要 确定 灾难 恢复 的 需求 等 级 。 

(2) 确定 最 低 恢 复 要 求 ” 根 据 信息 系统 的 时 间 敏 感性 ， 确 定 信 息 系统 灾难 恢复 目 
标的 最 低 要 求 ， 例 如 : 

1) 第 一 类 : RTO <6 小 时 ，RPO <15 分 钟 

2) 第 二 类 : RTO <24 小 时 ，RPO < 120 分 钟 

3) 第 三 类 : RTO <7 天 

(3) 确定 恢复 优先 级 ”根据 业务 功能 分 析 、 业 务 中 断 影响 分 析 并 综合 考虑 系统 间 
的 依赖 性 ， 确 定 信息 系统 的 恢复 优先 级 。 

(4) 确定 相关 资源 银行 应 确定 灾难 恢复 所 需 的 7 个 方面 资源 要 素 : 

1) 数据 备份 系统 。 
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2) 备用 数据 处 理 系 统 。 
3) 备用 网 络 系统 。 

4) 备用 基础 设施 。 

5) 技术 支持 能 

6) 运行 维护 管理 能 
7) 灾难 恢复 预案 。 


11.4.2 灾难 恢复 能 力 等 级 及 策略 的 制定 


1. 灾难 恢复 能 力 等 级 
2008 年 ， 中 国人 民 银 行 发 布 了 《银行 业 信息 系统 灾难 恢复 管理 规范 》， 其 中 规定 了 
灾难 恢复 能 力 等 级 及 其 确定 方法 ， 银 行 应 根据 信息 系统 的 RTO 和 RPO 要 求 ， 确 定 信息 
系统 的 灾难 恢复 能 力 等 级 ， 如 表 11-1 所 示 。 
表 11-1 RTO/RPO 与 灾难 恢复 能 力 等 级 的 关系 


灾难 恢复 能 力 等 级 RTO RPO 
1 2 天 以 上 1~7 天 
2 24 小 时 以 上 1~7 天 
3 12 小 时 以 上 数 小 时 至 1 天 
4 数 分 钟 至 2 天 数 小 时 至 1 天 
5 数 小 时 至 2 天 0 ~30 分 钟 
6 数 分 钟 0 


2. 灾难 恢复 策略 的 制定 

灾难 恢复 策略 的 制定 就 是 按照 灾难 恢复 资源 的 成 本 与 风险 可 能 造成 的 损失 之 间 取 得 
平衡 的 原则 ， 即 “成 本 风险 平衡 原则 ”确定 每 项 关键 业务 功能 的 灾难 恢复 策略 ， 不 同 
的 业务 功能 可 采用 不 同 的 灾难 恢复 策略 。 具 体 的 灾难 恢复 策略 如 下 。 

(1) 成 本 风险 分 析 和 策略 的 确定 ”银行 应 按照 成 本 风险 平衡 原则 ， 确 定 每 项 关键 
业务 功能 的 灾难 恢复 策略 ， 不 同业 务 功能 可 采用 不 同 的 灾难 恢复 策略 。 主 要 包括 灾难 恢 
复 建 设计 划 、 灾 难 恢复 能 力 等 级 、 灾 难 恢复 建设 模式 、 灾 难 备份 中 心 布局 。 

灾难 恢复 能 力 等 级 包括 灾难 恢复 能 力 等 级 的 确定 、 最 低 的 灾难 恢复 能 力 等 级 要 求 、 
灾难 备份 中 心 的 布局 、 资 源 服务 的 获取 和 保障 等 。 

1) 灾难 备份 中 心 的 布局 原则 : 灾难 备份 中 心 应 设置 在 中 华人 民 共 和 国境 内 ; 应 保 
证 灾 备 中 心 与 生产 中 心 之 间距 离合 理 ; 应 避免 灾 备 中 心 与 生产 中 心 同时 遭受 同类 风险 ; 
应 综合 考虑 灾 备 中 心 所 在 地 的 技术 支持 能 力 、 电 讯 资 源 、 地 理 地 质 环境 、 公 共 资 源 与 服 
务 配 套 能 力 等 外 部 支持 条 件 。 

2) 布局 模式 : 可 以 采用 一 主 一 备 、 一 主 多 备 、 互 为 备份 、 多 主 一 备 、 混 合 等 方式 。 

(2) 资源 、 服 务 的 获取 和 保障 

1) 资源 的 获取 。 
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2) 基础 设施 : 包括 机 房 和 其 他 辅助 设施 ， 通 常 可 以 采用 自 建 的 方式 或 者 共享 的 方 
式 来 获取 。 

3) 数据 备份 系统 、 备 用 数据 处 理 系统 : 是 用 于 灾难 恢复 的 数据 备份 系统 和 备用 数 
据 处 理 的 系统 设备 ， 可 以 通过 自行 采购 、 与 供应 商 签订 紧急 供 货 协 议 、 租 赁 、 外 包 等 方 
式 获得 。 

4) 通信 网 络 : 用 于 灾难 恢复 的 通信 网 络 包括 生产 中 心 和 备份 中 心间 的 备份 网 络 和 
最 终 用 户 访问 灾难 备份 中 心 的 网 络 ， 一 般 采 用 自行 建设 和 租用 运营 商 线路 的 方式 获取 。 

5) 专业 服务 的 获取 。 

6) 灾难 恢复 咨询 服务 : 包括 风险 分 析 、 业 务 影响 分 析 、 灾 难 恢复 策略 制定 、 灾 难 
备份 中 心 规划 与 建设 、 灾 难 恢复 预案 制定 、 测 试 、 培 训 和 演练 等 ， 通 常 采用 委托 外 部 咨 
询 机 构 和 联合 外 部 咨询 机 构 的 方式 获取 。 

7) 灾难 恢复 技术 支持 服务 : 服务 对 象 包括 数据 备份 系统 、 备 用 数据 处 理 系统 和 通 
信和 网 络 等 ， 其 获取 方式 包括 自 有 技术 支持 队伍 、 专 业 服 务 提 供 商 、 设 备 提 供 商 等 。 

8) 灾难 恢复 运营 管理 服务 : 包括 灾难 备份 中 心 的 日 常 运行 维护 和 灾难 恢复 预案 的 
维护 等 ， 其 获取 方式 包括 自主 运行 维护 、 外 包 。 

9) 外 包 的 管理 : 灾难 恢复 服务 外 包 时 应 符合 国家 和 行业 的 相关 服务 资质 要 求 ， 并 
至 少 满足 以 下 要 求 . 

@ 应 熟悉 银行 业 信息 系统 架构 和 业务 流程 ， 具 有 灾难 恢复 外 包 服 务 的 成 功 案例 和 

@ 应 具有 完备 的 信息 安全 管理 体系 和 服务 质量 保证 体系 ， 并 通过 ISO/IEC 27001 、 
ISOZIEC 9001 等 认证 。 

@) 应 独立 运营 管理 灾难 备份 中 心 ， 且 机 房 的 可 用 性 应 至 少 达 到 99. 9% ， 其 所 能 提 
供 的 灾难 恢复 能 力 等 级 应 达到 5 级 ( 含 ) 以 上 。 


11.4.3 灾难 恢复 策略 的 实现 


灾难 恢复 策略 的 实现 步 又 就 是 根据 灾难 恢复 的 策略 ， 选 择 和 建设 灾难 备份 中 心 ， 实 
现 灾 备 系统 技术 方案 、 技 术 支 持 和 维护 能 力 。 灾 难 恢复 策略 实现 的 具体 要 求 如 下 。 

1. 灾难 备份 中 心 的 选择 和 建设 

1) 选 址 原则 : 选择 或 建设 灾难 备份 中 心 时 ， 应 根据 风险 评估 的 结果 ， 避 免 灾 难 备 
份 中 心 与 生产 中 心 同时 遭受 同类 风险 。 灾 难 备份 中 心 还 应 具有 方便 灾难 恢复 人 员 或 设备 
到 达 的 交通 条 件 ， 以 及 数据 备份 和 灾难 恢复 所 需 的 通信 、 电 力 等 资源 。 

2) 基础 设施 的 要 求 : 在 新 建 或 选用 灾难 备份 中 心 的 基础 设施 时 ， 计 算 机 机 房 应 符 
合 GBXMT 2887 一 2000 的 要 求 ; 工作 辅助 设施 和 生活 设施 应 符合 灾难 恢复 目标 的 要 求 。 

2. 灾难 备份 系统 技术 方案 的 实现 

1) 技术 方案 的 设计 : 根据 灾难 恢复 策略 制定 相应 的 灾难 备份 系统 技术 方案 ， 包含 
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数据 备份 系统 、 备 用 数据 处 理 系 统 和 备用 的 网 络 系统 。 技 术 方 案 中 所 涉及 的 系统 ， 应 获 
得 同 生产 系统 相当 的 安全 保护 并 具有 可 扩展 性 。 

2) 技术 方案 的 验证 、 确 认 和 系统 开发 : 为 确保 技术 方案 满足 灾难 恢复 策略 的 要 
求 ， 应 由 单位 的 相关 部 门 组 织 对 技术 方案 进行 确认 和 验证 ， 并 记录 和 保存 验证 及 确认 的 
结果 。 按 照 确 认 的 灾难 备份 系统 技术 方案 进行 开发 ， 实 现 所 要 求 的 数据 备份 系统 、 备 用 
数据 处 理 系 统 和 备用 网 络 系统 。 

3) 系统 安装 和 测试 : 按照 经 过 确认 的 技术 方案 ， 实 施 组 应 制订 各 阶段 的 系统 安装 
和 测试 计划 ， 以 及 支持 不 同 关键 业务 功能 的 系统 安装 和 测试 计划 ， 并 组 织 最 终 用 户 共 同 
进行 测试 。 确 认 以 下 各 项 功能 可 正确 实现 : 数据 备份 及 数据 恢复 功能 ; 在 限定 的 时 间 
内 ， 利 用 备份 数据 正确 恢复 系统 、 应 用 软件 及 各 类 数据 ， 并 可 正确 恢复 各 项 关键 业务 的 
功能 ; 客户 端 可 与 备用 数据 处 理 系统 正常 通信 的 功能 。 

4) 技术 支持 能 力 的 实现 : 单位 应 根据 灾难 恢复 策略 的 要 求 ， 获 取 对 灾难 备份 系统 
的 技术 支持 能 力 。 灾 难 备份 中 心 应 建立 相应 的 技术 支持 组 织 ， 定 期 对 技术 支持 人 员 进 行 
技能 的 教育 和 培训 。 

5) 运行 维护 管理 能 力 的 实现 : 为 了 大 到 灾难 恢复 目标 ， 灾 难 备份 中 心 应 建立 各 种 
操作 和 管理 制度 ， 用 以 保证 数据 备份 的 及 时 性 和 有 效 性 ; 保证 备用 数据 处 理 系统 和 备用 
网 络 系统 处 于 正常 状态 ， 并 与 生产 系统 的 参数 保持 一 致 ， 保证 有 效 的 应 急 响 应 、 处 理 
能 力 。 

6) 灾难 恢复 预案 的 实现 : 灾难 恢复 的 每 个 等 级 均 应 按 我 国 灾难 恢复 等 级 划分 的 具 
体 要求 ， 制 定 相 应 的 灾难 恢复 预案 ， 并 进行 落实 和 管理 。 


11.4.4 灾难 恢复 预案 的 制定 和 管理 


银行 在 设计 灾难 恢复 预案 时 ， 首 先 需要 设计 灾难 恢复 预案 框架 ， 即 至 少 要 包含 
《银行 业 信息 系统 灾难 恢复 管理 规范 》 中 所 描述 的 组 织 、 流 程 和 资源 等 预案 主要 内 容 ， 
然后 需要 设计 灾难 恢复 预案 的 文档 形式 。 预 案 应 由 两 部 分 组 成 : 第 一 部 分 是 灾 备 体系 建 
设 ， 主 要 介绍 发 生 灾难 之 前 的 灾 备 体系 建设 工作 ， 包 括 策略 制定 、 组 织 机 构 落实 和 资源 
配置 等 ; 第 二 部 分 是 灾难 恢复 流程 ， 主 要 介绍 发 生 灾难 后 ， 为 了 恢复 信息 系统 的 重 续 运 
行 ， 灾 备 中 心 进行 响应 及 恢复 的 工作 流程 。 

具体 灾难 恢复 预案 应 按照 《银行 业 信息 系统 灾难 恢复 管理 规范 》 对 演练 目的 、 形 
式 、 层 次 、 组 织 实施 、 评 估 和 预案 修订 来 进行 指导 ， 灾 难 恢 复 预案 制定 和 管理 步骤 负责 
编制 灾难 恢复 预案 ， 对 灾难 恢复 预案 进行 教育 、 培 训 和 演练 ， 并 负责 灾难 恢 预 案 的 保 
存 、 分 发 及 维护 和 变更 管理 。 

1. 灾难 恢复 预案 的 制定 

银行 应 结合 自身 实际 情况 编写 灾难 恢复 预案 ， 灾 难 恢复 预案 应 包括 应 急 预 案 和 信息 
系统 灾难 恢复 预案 。 

(1) 应 急 预 案 ”至少 应 包括 ; 
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1) 灾难 场景 定义 、 目 标 和 范围 。 

2) 应 急 管 理 组 织 机 构 。 

3) 应 急 恢复 决策 及 授权 ， 包 括 应 急 恢 复 条 件 、 权 限 、 处 置 策略 及 强制 决策 点 等 。 

4) 应 急 相 应 工作 规程 ， 包 括 紧急 事件 初始 响应 、 损 害 评 估 、 指 挥 中 心 成 立 和 人 员 
召集 、 灾 难 预 警 、 灾 难 宣告 、 启 动 灾 难 切换 流程 等 。 

5) 应 急 管 理工 作 中 使 用 的 各 项 文档 ,包括 通讯 录 、 工 作文 档 、 工具 等 。 

(2) 信息 系统 灾难 恢复 ”至 少 应 包括 : 

1) 灾难 恢复 范围 和 目标 。 

2) 灾难 切换 规程 。 

3) 灾后 重 续 运行 操作 指引 。 

4) 各 系统 灾难 切换 操作 手册 。 

(3) 灾难 恢复 预案 的 制定 ”应 遵守 以 下 原则 . 

1) 完整 性 : 灾难 恢复 预案 应 包含 灾难 恢复 的 整个 过 程 ， 以 解 灾难 恢复 所 需 的 尽 可 
能 全 面 的 数据 和 资料 。 

2) 易 用 性 : 预案 营运 易于 理解 语言 和 图 表 ， 并 适合 在 紧急 情况 下 使 用 。 

3) 明确 性 : 预案 应 采用 清晰 的 结构 ， 对 资源 进行 清除 的 描述 ， 工 作 内 容 和 步骤 应 
具体 ， 每 项 工作 应 责任 明确 。 

4) 有 效 性 : 预案 应 尽 可 能 满足 灾难 发 生 时 进行 恢复 的 实际 需要 ， 并 保持 与 实际 系 
统 和 人 员 组 织 的 同步 更 新 。 

5) 兼容 性 : 灾难 恢复 预案 应 与 其 他 应 急 预 案 体 系 有 机 结合 。 

(4) 灾难 恢复 预案 制定 的 过 程 

1) 初稿 的 制定 : 按照 风险 分 析 和 业务 影响 分 析 所 确定 的 灾难 恢复 内 容 ， 根 据 灾难 
恢复 登记 的 要 求 ， 结 合 单位 其 他 相关 的 应 急 预 案 ， 撰 写 出 灾难 恢复 预案 的 初稿 。 

2) 初稿 的 评审 : 单位 应 对 灾难 恢复 预案 初稿 的 全 面 性 、 易 用 性 、 明 确 性 、 有 效 性 
和 兼容 性 进行 严格 的 评审 。 评 审 应 有 相关 的 流程 保证 。 

3) 初稿 的 修订 : 根据 评审 结果 ， 对 预案 进行 修订 ， 纠 正在 初稿 评审 过 程 中 发 现 的 
问题 和 缺陷 ， 形 成 预案 的 修订 稿 。 

4) 预案 的 测试 : 应 预先 制订 测试 计划 ， 在 计划 中 说 明 测试 的 案例 。 测 试 应 包含 基 
本 单元 测试 、 关 联 测试 和 整体 测试 。 测 试 的 整个 过 程 应 有 详细 的 记录 ， 并 形成 测试 
报告 。 

5) 预案 的 审核 和 批准 : 根据 测试 的 记录 和 报告 ， 对 预案 的 修订 稿 进一步 完善 ， 形 
成 预案 的 报批 稿 ， 并 由 灾难 恢复 领导 小 组 审核 和 批准 ， 确 定 为 预案 的 执行 稿 。 

2. 灾难 恢复 预案 的 演练 

演练 是 为 了 验证 灾难 恢复 预案 的 完整 性 、 易 用 性 、 明 确 性 、 有 效 性 和 兼容 性 ， 提 高 
银行 灾难 恢复 预案 的 执行 力 。 

en pn 演练 有 事前 通告 和 非 事 前 通告 两 种 方式 ， 主 要 包括 : 

1) 桌面 演练 : 组 织 相关 的 灾难 恢复 组 织 机 构 人 员 ， 以 会 议 形式 模拟 各 种 灾难 场 
134 


YY 


业务 连续 性 与 灾难 恢复 管理 | 第 11 章 | 


景 。 这 种 演练 方式 主要 是 验证 灾难 恢复 预案 的 决策 和 指挥 能 

2) 模拟 演练 : 模拟 灾难 场景 ， 利 用 灾难 备份 系统 和 灾难 恢复 预案 模拟 系统 切换 和 
业务 恢复 ， 通 常 不 涉及 真实 的 业务 操作 。 

3) 实战 演练 : 模拟 灾难 场景 ， 利 用 灾难 备份 系统 和 灾难 恢复 预案 完成 系统 切换 和 
业务 恢复 ， 涉 及 真实 的 业务 操作 ， 银 行 在 演练 完成 后 需 进 行 数据 和 环境 的 回 导 。 

(2) 演练 的 层次 主要 包括 : 

1) 以 指挥 协调 为 主 的 指挥 演练 。 

2) 以 技术 操作 为 主 的 技术 演练 。 

3) 以 业务 恢复 为 主 的 业务 演练 。 

(3) 演练 的 组 织 实施 

1) 应 预先 对 培训 需求 进行 评估 ， 开 发 和 落实 相应 的 培训 /教育 课程 ， 保 证 课程 内 
容 与 预案 的 要 求 相 一 致 。 

2) 应 事先 确定 培训 的 频次 和 范围 ， 事 后 保留 培训 的 记录 。 

3) 预先 制订 演练 计划 ， 在 计划 中 说 明 演练 的 场景 。 演 练 的 整个 过 程 应 有 详细 的 记 
录 ， 并 形成 报告 。 

4) 灾难 恢复 演习 应 保证 至 少 每 年 一 次 。 

(4) 演练 的 评估 演练 完成 后 应 针对 演练 的 组 织 、 过 程 和 效果 进行 评估 ， 主 要 
包括 : 

1) 灾难 恢复 预案 的 有 效 性 和 可 用 性 。 

2) 演练 结果 与 演练 日 标的 差距 。 

3) 演练 过 程 中 发 现 的 生产 系统 和 灾难 备份 系统 存在 的 问题 。 

4) 演练 工作 的 组 织 能 力 。 

5) 参 演 人 员 的 应 急 能 力 。 

6) 应 急 资源 的 协调 保障 能 力 。 

(5) 演练 后 预案 的 修订 应 根据 演练 评估 结论 对 灾难 恢复 预案 进行 维护 和 更 新 ， 
并 在 下 次 演练 中 加 强 对 更 新 部 分 的 演练 ， 验 证 更 新 部 分 的 有 效 性 。 

3. 灾难 恢复 预案 管理 

为 了 保证 灾难 恢复 预案 的 有 效 性 ， 应 从 以 下 方面 对 灾难 恢复 预案 进行 严格 的 变更 
管理 。 

(1) 保管 、 更 新 和 分 发 ”经 过 审核 和 批准 的 灾难 恢复 预案 ,应 具备 以 下 条 件 : 

1) 由 银行 专人 负责 保存 与 分 发 。 

2) 具有 多 份 拷贝 ， 在 不 同 的 地 点 保存 。 

3) 分 发 给 参与 灾难 恢复 工作 的 所 有 人 员 。 

4) 在 每 次 修订 后 所 有 拷贝 统一 更 新 ， 并 保留 一 套 ， 以 备查 阅 ， 原 分 发 的 旧版 本 应 
予以 销毁 。 

(2) 更 新 维护 ”灾难 恢复 预案 的 更 新 维护 ， 主 要 包括 : 

1) 业务 流程 的 变化 、 信 息 系 统 的 变更 、 人 员 的 变更 都 应 在 灾难 恢复 预案 中 得 到 及 
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时 反映 。 

2) 预案 在 测试 、 演 练 和 灾难 发 生 后 、 实 际 执行 时 ， 其 过 程 均 应 有 详细 的 记录 ， 并 
应 对 测试 、 演 练 和 执行 的 效果 进行 评估 ， 同 时 对 预案 进行 相应 的 修订 。 

3) 灾难 恢复 预案 还 应 定期 评审 和 修订 ， 至 少 每 年 一 次 。 

(3) 教育 和 培训 应 定期 组 织 灾难 恢复 预案 的 教育 和 培训 ， 采 用 培训 与 自我 学 习 
方式 ， 通 过 网 络 、 集 中 培训 、 资 料 传阅 等 方式 ， 广 泛 宣 传 应 急 措 施 和 预防 、 避 险 等 常 
识 , 增强 风险 防范 意识 和 应 急 能 力 。 各 有 关 方 面 要 有 计划 地 对 应 急 实施 人 员 和 管理 人 员 
进行 培训 ,确保 相关 人 员 熟 知 应 急 预 案 ， 提 高 其 专业 技能 。 培 训 后 应 保留 培训 的 记录 。 


11.5 案例 介绍 : 业务 连续 性 与 灾难 恢复 管理 实践 


某 大 型 商业 银行 ( 以 下 简称 F 行 ) 非常 重视 灾难 恢复 管理 体系 建设 ,将 其 作为 全 
行 信息 化 建设 的 重点 工程 。 在 灾 备 体系 建设 过 程 中 充分 遵循 《银行 业 信息 系统 灾难 恢 
复 管 理 规范 》 的 相关 规定 ， 结 合 该 行 实 际 情况 ， 规 划 、 设 计 了 完善 的 灾 备 体系 框架 ， 
分 设 多 个 灾 备 项 目 ， 合 理 安排 工作 任务 和 工作 次 序 ， 稳 步 推进 灾 备 体系 建设 并 取得 了 丰 
富 成 果 ， 有 效 地 提高 了 风险 管控 能 力 ， 提 高 了 股东 、 客 户 和 合作 伙伴 的 信心 。 

1. 成 立 备 援 测试 中 心 ， 明 确 灾 备 管理 工作 定位 

灾 备 体系 庞大 而 复杂 ， 需 要 多 个 部 门 协同 工作 ， 是 一 项 长 期 工程 ， 因 此 ， 灾 备 体系 
建设 工作 宜 由 某 个 全 职 部 门 牵头 开展 。 为 有 效 推进 灾 备 体系 建设 工作 , 上行 于 2008 年 
成 立 了 备 援 测试 中 心 ， 下 设 灾 备 管理 部 ， 全 面 负责 全 行 灾 备 体系 建设 规划 和 管理 。F 行 
经 过 分 析 和 研究 ， 明 确 了 灾 备 管理 、 应 急 管理 、 生 产 日 常 管理 、 信 息 技 术 连 续 性 管理 和 
业务 连续 性 管理 等 概念 之 间 的 关系 。 其 中 特别 需要 指出 的 是 ， 灾 备 管理 应 对 的 是 物理 性 
灾难 ， 对 于 逻辑 性 灾难 ， 灾 备 管理 无 能 为 力 ， 逻 辑 性 灾难 是 应 急 管理 的 工作 范畴 。 

2. 规划 灾 备 体系 建设 ， 了 明确 工作 思路 

F 行 根据 全 行 信息 系统 架构 及 部 署 情况 ， 全 方位 地 规划 了 灾 备 体系 建设 工程 ， 计 划 
按照 “3 个 层次 、5 个 项 目 ” 的 工作 思路 ， 全 面 建 设 灾 备 体系 。“3 个 层次 ” 即 总 行 、 
一 级 分 行 、 二 级 分 行 等 3 层 信息 系统 部 署 架构 。 “5 个 项 目 ” 即 总 行 数据 中 心 异 地 灾 备 
项 目 一 期 和 二 期 、 总 行 数据 中 心 同城 灾 备 项 目 、 一 级 分 行 灾 备 项 目 和 二 级 分 行 灾 备 项 
目 ， 其 中 总 行 数据 中 心 异地 灾 备 项 目 一 期 和 二 期 分 别 基于 现 有 资源 和 正在 建设 当中 的 某 
数据 中 心 的 资源 。F 行 计划 通过 这 些 项 目 完成 灾 备 体系 初步 建设 ， 然 后 进入 持续 维护 管 
理 阶 段 ， 不 断 演 练 ， 不 断 完善 灾 备 体系 。 

3. 设计 灾 备 体系 框架 ， 建 设 灾 备 体系 

《银行 业 信息 系统 灾难 恢复 管理 规范 》 将 灾难 恢复 预案 定义 为 信息 系统 灾难 恢复 所 
需 组 织 、 流 程 、 资 源 等 预先 制定 的 行动 方案 ， 用 于 指导 相关 人 员 在 预定 的 灾难 恢复 目标 
内 恢复 信息 系统 支持 的 关键 业务 功能 。F 行 根据 该 定义 ,综合 考虑 灾难 恢复 策略 、 组 织 
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机 构 、 灾 难 恢复 预案 和 管理 制度 等 ， 设 计 了 完善 的 灾 备 体 系 框架 。 

(1) 开展 业务 影响 分 析 ， 制 定 灾难 恢复 策略 ”该 行 按照 《银行 业 信息 系统 灾难 恢 
复 管 理 规范 》 要 求 ， 根 据 业 务 功能 分 析 、 业 务 中 断 影响 分 析 并 综合 考虑 系统 间 的 依赖 
性 ， 确 定 信息 系统 的 恢复 优先 级 ， 对 全 行 部 署 的 所 有 信息 系统 进行 了 梳理 ， 分 析 各 个 信 
息 系统 的 部 署 地 点 、 相 互 之 间 的 依赖 关系 、 所 支撑 的 业务 和 业务 中 断 的 影响 程度 等 ， 划 
分 各 个 信息 系统 的 恢复 需求 等 级 ， 排 列 恢复 优先 级 ， 并 结合 当前 资源 情况 ， 明 确 了 灾难 
恢复 的 信息 系统 范围 和 恢复 时 间 指 标 。 

F 行 在 总 行 层面 ,采取 了 “两 地 三 中 心 ”的 布局 模式 ， 其 中 异地 灾 备 中 心 与 软件 开 
发 和 测试 复 用 机 房 、 网 络 、 系 统 和 运行 保障 等 基础 资源 ， 充 分 贯彻 《银行 业 信 息 系统 
灾难 恢复 管理 规范 》 所 倡导 的 成 本 风险 平衡 原则 。 在 一 级 分 行 和 二 级 分 行 层面 ,FF 行 均 
采用 了 “多 主 一 备 ” 的 布局 模式 。 

(2) 建立 灾难 恢复 指挥 体系 ， 明 确 工 作 职 责 下 行 根据 《银行 业 信息 系统 灾难 恢 
复 管 理 规范 》 对 灾难 恢复 组 织 机 构 的 要 求 ， 结 合 本 行 组 织 架 构 ， 成 立 了 “包含 决策 层 、 
管理 层 、 执 行 层 ” 的 灾难 恢复 指挥 体系 。 决 策 层 由 高 层 管理 者 组 成 ， 主 要 负责 批准 灾 
难 恢复 预案 的 启动 和 重大 事项 决策 ;管理 层 由 业务 、 技 术 、 后 勤 等 相关 部 门 负责 人 组 
成 ， 在 决策 层 的 领导 下 开展 工作 ， 主 要 负责 协调 资源 并 指挥 灾难 恢复 工作 ; 执行 层 由 业 
务 、 技 术 、 后 勤 等 相关 部 门 的 工作 人 员 和 外 部 机 构 人 员 组 成 ， 在 管理 层 的 领导 下 开展 工 
作 ， 负 责 灾难 恢复 的 具体 实施 及 恢复 后 的 运行 维护 工作 。 三 层 组 织 通过 指挥 /报告 机 制 、 
协调 机 制 、 联 络 机 制 、 保 障 机 制 等 灾难 恢复 工作 机 制 ， 确 保 各 层 之 间 、 同 层 各 部 门 之 间 
能 够 信息 传达 及 时 、 沟 通顺 畅 ， 确 保 灾 难 恢复 工作 能 够 顺利 进行 。 

(3) 编制 灾难 恢复 预案 ， 组 织 灾难 恢复 演练 了 上 行 根 据 《 银 行业 信息 系统 灾难 恢 
复 管理 规范 》 的 要 求 设计 了 灾难 恢复 预案 框架 ,设计 了 灾难 恢复 预案 的 文档 形式 ， 编 
制 了 《数据 中 心 信息 系统 灾难 恢复 预案 》。 预 案由 3 部 分 组 成 : 第 一 部 分 是 灾 备 体系 建 
设 ， 主 要 介绍 发 生 灾 难 之 前 的 灾 备 体系 建设 工作 ， 包 括 策略 制定 、 组 织 机 构 落实 和 资源 
配置 等 ;第 二 部 分 是 灾难 恢复 流程 ， 主 要 介绍 发 生 灾 难 后 ， 为 了 恢复 信息 系统 的 重 续 运 
行 ， 灾 备 中 心 进行 响应 及 恢复 的 工作 流程 ;第 三 部 分 是 附录 ， 这 里 收录 了 涉及 保密 信息 
(如 系统 、 网 络 的 技术 配置 和 操作 手册 等 ) 、 变 更 频繁 (如 任务 一 览 表 、 联 络 清单 等 ) ， 
以 及 作为 工作 文档 模板 〈 如 报告 单 、 命 令 单 等 ) 的 内 容 。 这 种 预案 结构 的 最 大 优点 是 
第 一 部 分 和 第 二 部 分 内 容 相 对 稳定 ， 作 为 预案 主 文档 可 以 不 必 频 索 修 订 ， 便 于 预案 的 维 
护 管理 ， 各 分 支 机 构 可 以 参考 这 个 预案 框架 ， 结 合 自身 实际 情况 ， 重 点 编制 附件 部 分 ， 
然后 落地 实施 。 

F 行 在 搭建 灾 备 系统 的 同时 ， 编 制 了 相应 灾难 恢复 预案 ， 之 后 组 织 了 灾难 恢复 演 
练 。F 行 按照 《银行 业 信息 系统 灾难 恢复 管理 规范 》 对 演练 目的 、 形 式 、 层 次 、 组 织 实 
施 、 评 估 和 预案 修订 的 指导 ,制订 了 详细 的 演练 计划 ,设计 了 详尽 的 演练 方案 模板 。 模 
板 内 容 包括 演练 组 织 管理 和 技术 配置 等 演练 前 准备 工作 ， 桌 面 演练 、 模 拟 演练 、 实 战 演 
练 的 目标 与 定位 ， 演 练 流程 脚本 ， 预 期 执行 结果 ， 演 练 风险 控制 和 演练 评估 标准 等 具体 
实施 方案 ， 以 及 演练 执行 过 程 中 的 控制 、 记 录 、 问 题 汇总 和 演练 后 的 总 结 等 。 
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(4) 制定 灾 备 管理 制度 ， 维 护 管理 灾 备 体系 ” 灾 备 管理 制度 建设 作为 灾 备 体系 建 
设 可 持续 发 展 和 有 效 运作 的 重要 保障 。F 行 拟 从 总 行 和 分 行 两 个 层面 分 别 制定 《数据 中 
心 灾 备 管理 实施 细则 》 和 《分 行 灾 备 管理 实施 细则 》， 并 与 更 高 层面 的 《重大 突 发 事件 
应 急 预案 》 和 《信息 系统 应 急 管 理工 作 实施 细则 》 等 有 机 衔接 。 灾 备 管理 制度 的 主要 
内 容 将 包括 预案 管理 〈 如 问题 管理 、 变 更 管理 、 版 本 管理 及 发 布 管理 等 ) 、 测 试管 理 、 
演练 管理 、 灾 备 项 目 管理 、 培 训 管 理 、 监 督 管理 、 灾 备 系 统 运 维 管理 、 灾 难 响 应 与 处 置 
管理 等 。 
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第 12 重 
信息 安全 审计 


随 着 信息 技术 在 我 国 银行 业 中 的 地 位 越 来 越 高 ， 信 息 安全 已 经 成 为 关系 到 银行 业务 
能 否 顺 利 开展 的 重要 因素 。 保 障 信息 安全 ， 是 一 个 PDCA 循环 过 程 。 通 过 信息 安全 审计 
的 实施 可 以 有 效 地 监控 银行 信息 安全 管理 的 运行 情况 ， 以 及 安全 管控 措施 是 否 得 到 有 效 
执行 ， 通过 信息 安全 审计 还 可 以 帮助 信息 安全 管理 部 门 优化 信息 安全 管理 过 程 达到 持续 
改进 信息 安全 管理 的 效果 。 因 此 ， 银 行 信息 安全 的 审计 工作 就 显得 格外 重要 。 本 篇 主要 
讲述 了 银行 业 信息 安全 审计 简介 、 组 织 架 构 、 审 计 内 容 、 审 计 流 程 等 方面 。 


12.1.1 信息 安全 审计 简介 


目前 ， 在 我 国 的 国家 审计 机 关 已 经 开展 的 信息 系统 审计 工作 中 ， 信 息 安全 审计 是 其 
重要 内 容 之 一 。 男 外 银监会 、 审 计 署 、 人 民 银 行 等 多 个 行业 监管 部 门 及 政策 指导 部 门 均 
已 出 人 台 相 关 政 策 ， 要 求 建立 信息 安全 审计 制度 ， 规 范 信息 安全 审计 的 开展 方式 方法 。 

银行 信息 系统 安全 审计 的 依据 一 般 是 采用 国际 公认 的 信息 安全 标准 与 我 国法 律 、 法 
规 、 标 准 相 结合 的 办 法 ， 主 要 包括 银监会 《商业 银行 信息 科技 风险 管理 指引 》、ISO/ 
IEC 27001 (GB/T 22080) 信息 安全 管理 体系 要 求 、GB/T 22239 信息 安全 等 级 保护 基本 
要 求 及 银行 自身 的 信息 安全 规章 制度 。 


12. 1. 2 信 息 安 全 审计 组 织 


从 信息 安全 策略 中 “职责 分 离 ”的 基本 要 求 出 发 ， 银 行 信息 安全 审计 与 信息 安全 
控制 实施 岗位 分 离 是 信息 安全 审计 组 织 设置 的 基本 原则 。 
(1) 信息 安全 审计 领导 小 组 ”负责 确定 银行 信息 安全 审计 各 有 关 部 门 的 工作 职责 ， 
指导 、 监 督 信息 安全 审计 工作 。 
(2) 信息 安全 审计 组 ”负责 制订 内 审计 划 ， 报 领导 小 组 进行 审批 ， 并 负责 对 审核 
后 纠正 预防 措施 的 跟踪 检查 和 验证 工作 。 
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(3) 信息 安全 审计 工作 小 组 ”负责 按照 程序 的 要 求 及 内 审计 划 实 施 审核 活动 ， 报 
告 审 核 结果 。 

基于 信息 安全 组 织 中 关于 银行 信息 安全 相关 岗位 及 职责 的 描述 ， 银 行 管理 层 应 指定 
相关 人 员 担 任 信息 安全 管理 审计 的 审计 组 长 。 审 计 组 长 负责 以 下 工作 : 

1) 制订 每 年 的 信息 安全 管理 审计 工作 计划 。 

2) 建立 一 个 理解 信息 安全 管理 相关 标准 、 并 能 进行 审计 工作 的 独立 内 审 团队 。 该 
团队 可 以 由 信息 科技 部 门 中 有 信息 安全 管理 体系 内 部 审计 资格 的 人 员 组 成 ,或 由 具备 相 
应 信息 安全 技能 的 内 部 审计 部 门人 员 或 委托 外 部 机 构 进行 。 

3) 对 信息 安全 审计 过 程 中 的 质量 控制 负责 。 

4) 对 信息 安全 审计 发 现 问题 的 改进 措施 进行 跟踪 。 


12.1.3 信息 安全 审计 内 容 


1. 网 络 层 面 

网 络 层面 的 安全 审计 对 象 包括 对 网 络 架 构 、 网 络 设备 安全 及 网 络 行为 的 审计 ， 审 计 
数据 来 自 人 工 收集 和 技术 手段 收集 等 。 网 络 架 构 主 要 是 对 链 路 、 结 构 及 网 络 配置 方面 的 
审计 ; 网 络 设备 安全 审计 主要 是 设备 层面 的 安全 配置 审计 ; 而 网 络 行为 审计 内 容重 点 是 
对 网 络 中 发 生 的 安全 事件 、 网 络 异 常 行为 的 审计 。 网 络 层面 具体 审计 的 内 容 如 下 。 

(1) 网 络 架 构 安 全 

1) 审计 内 容 : 网 络 的 划分 、 网 络 间 通讯 的 流程 和 控制 、 网 络 链 路 的 备份 、 网 络 安 
全 的 设计 、 网 络 服务 。 

2) 具体 的 审计 项 目 : 查看 网 络 物理 连接 图 、 查 看 网 络 逻辑 连接 图 ( 卫 分 配 ) 、 使 
用 网 络 侦 测 工具 进行 IP ( 网络 服务 ) 扫描 、 查 看 网 络 安全 设计 和 实施 方案 、 测 试 备份 
网 络 链 路 、 测 试 网 络 路 由 情况 、 测 试 网 络 负载 情况 。 

3) 审计 频率 : 每 季度 一 次 。 

4) 审计 方式 : 人 工 审计 。 

(2) 网 络 设备 安全 

1) 审计 内 容 : 防火 墙 、 路 由 器 、 交 换 机 、 网 关 / 网 关 代 理 。 

2) 具体 的 审计 项 目 : 查看 防火 墙 安全 日 志文 件 、 路 由 器 、 交 换 机 、 网 关 、 网 关 代 
理 日 志文 件 ， 检 查 防 火 墙 安全 配置 ， 查 看 路 由 顺路 由 和 其 他 网 络 配置 ， 查 看 交换 机 
VLAN、 端 口 映射 、 数 据 流 控制 等 配置 ， 查 看 网 关 / 网 关 代理 配置 。 

3) 审计 频率 : 每 周一 次 。 

4) 审计 方式 : 如 果 系 统 中 具有 集中 日 志 收 集 系统 ， 可 利用 该 系统 完成 日 志 信息 的 
收集 ; 如 果 没 有 ， 可 采用 人 工 收集 。 

(3) 网 络 行为 监控 和 检测 

1) 审计 内 容 : 监控 系统 的 运作 情况 、 和 人 入侵 检测 运行 情况 。 

2) 具体 审计 项 : 查看 监控 系统 和 入 侵 检测 系统 的 安装 配置 文件 、 查 看 监控 系统 和 
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入 侵 检测 系统 的 日 志文 件 、 测 试 监控 系统 和 入 侵 检测 系统 的 报警 机 制 能 否 正常 运作 、 测 
试 关键 的 监控 和 人 入侵 检测 功能 (运行 非 正常 操作 、 测 试 系统 能 否 捕 获 和 报警 ) 。 

3) 审计 频率 ， 实 时 监控 。 

4) 审计 方式 ， 利用 网 络 中 的 网 络 监控 和 检测 系统 完成 审计 数据 的 收集 ， 结 合 技术 
和 人 工 方式 完成 审计 。 

2。 系统 层 面 

系统 层面 的 安全 审计 对 象 包括 系统 安全 技术 、 计 算 机 病毒 防治 、 远 程 访问 安全 。 在 
对 设备 层面 审计 的 重点 是 对 各 种 系统 生成 的 日 志 、 操 作 日 志 进 行 审计 。 具 体 审计 内 容 
如 下 。 

(1) 系统 安全 技术 

1) 审计 内 容 : 操作 系统 安全 。 

2) 具体 审计 项 : 查看 操作 系统 安全 日 志文 件 、 查 看 管理 员 操作 日 志文 件 、 查 看 文 
件 访问 记录 、 对 用 户 权限 分 配 情况 进行 抽查 、 进 行 系统 漏洞 扫描 。 

3) 审计 频率 ; 对 用 户 权限 分 配 情况 进行 抽查 、 进 行 系统 漏洞 扫描 等 工作 ， 每 季度 
进行 一 次 ， 其 他 工作 需 每 周 进行 一 次 。 

4) 审计 方式 : 利用 集中 日 志 管理 系统 完成 日 志 信息 的 收集 和 处 理 ， 如 果 系 统 中 没 
有 集中 日 志 管理 系统 ， 可 选择 人 工 收集 。 

(2) 计算 机 病毒 防治 

1) 审计 内 容 ， 防 病毒 系统 的 安装 情况 、 防 病毒 系统 运行 情况 、 系 统 病毒 数据 库 更 
新 情况 、 用 户 病毒 数据 库 更 新 情况 。 

2) 具体 审计 项 : 抽查 计算 机 用 户 的 PC 机 是 否 安装 了 系统 统一 规定 的 防 病毒 程序 ， 
并 检查 程序 的 内 部 设 定 、 抽 查 计算 机 用 户 PC 机 上 的 病毒 数据 库 版 本 、 随 机 测试 防 病毒 
系统 功能 、 查 看 防 病毒 系统 的 运行 日 志文 件 、 检 查 防 病毒 系统 的 病毒 数据 库 的 版 本 。 

3) 审计 频率 : 查看 防 病毒 系统 的 运行 日 志文 件 、 检 查 防 病毒 系统 的 病毒 数据 库 的 
版 本 等 工作 ， 需 要 每 周 进行 一 次 ， 其 他 工作 每 季度 一 次 。 

4) 审计 方式 ; 人 工 收集 和 审计 。 

(3) 远程 访问 安全 

1) 审计 内 容 : 远程 访问 身份 验证 、 远 程 访问 权限 分 配 、 远 程 访问 通讯 加 密 、 远 程 
访问 性 能 、 远 程 访问 服务 器 和 系统 的 安全 性 。 

2) 具体 审计 项 : 查看 远程 访问 安全 日 志文 件 、 查 看 远程 访问 控制 设 定 、 查 看 远程 
访问 服务 器 的 性 能 日 志文 件 、 对 远程 访问 服务 器 进行 漏洞 扫描 、 对 传送 的 数据 实行 电子 
侦 听 测试 。 

3) 审计 频率 ， 对 远程 访问 服务 器 进行 漏洞 扫描 、 对 传送 的 数据 实行 电子 侦 听 测试 
等 工作 ， 每 季度 进行 一 次 ， 其 他 工作 需 每 周 进行 一 次 。 

4) 审计 方式 ; 人 工 收集 和 审计 。 

3. 应 用 层面 

应 用 层面 的 安全 审计 重点 是 对 应 用 系统 生命 周期 管理 的 审计 ， 包 括 应 用 软件 开发 安 
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全 、 应 用 系统 运行 安全 、 数 据 库 安全 、 数 据 备份 和 恢复 等 方面 。 具 体 审 计 内 容 如 下 。 

(1) 软件 开发 安全 

1) 审计 内 容 : 软件 开发 环境 、 软 件 测试 规定 和 执行 情况 、 软 件 开发 文档 管理 规定 
和 执行 情况 、 测 试 系统 的 升级 。 

2) 具体 审计 项 : 查看 软件 开发 规范 、 查 看 软件 开发 环境 设计 和 实施 方案 、 抽 查 软 
件 开 发 项 目 文档 和 有 关 技 术 文 档 、 抽 查 软件 测试 记录 、 查 看 软件 开发 系统 的 备份 记录 、 
查看 测试 系统 升级 (升级 到 生产 系统 ) 计划 和 有 关 实 施文 档 。 

3) 审计 频率 : 系统 上 线 前 。 

4) 审计 方式 : 人 工 收集 及 审计 。 

(2) 应 用 系统 运行 安全 

1) 审计 内 容 : 业务 主机 安全 性 、 业 务 主机 备份 和 恢复 。 

2) 具体 审计 项 : 查看 业务 主机 安全 日 志文 件 、 查 看 业务 主机 管理 员 操作 日 志文 
件 、 查 看 文件 访问 记录 、 查 看 数据 备份 记录 、 进 行 主 机 漏洞 扫描 、 检 查 所 有 用 户 的 权限 
分 配 情况 。 

3) 审计 频率 : 进行 主机 漏洞 扫描 、 检 查 所 有 用 户 的 权限 分 配 情 况 等 工作 ， 需 要 每 
季度 进行 一 次 ， 其 他 工作 每 周 进行 一 次 。 

4) 审计 方式 : 利用 集中 日 志 管理 系统 完成 日 志 信息 的 收集 和 处 理 ; 其 他 的 采用 人 
工 收集 和 审计 。 

(3) 数据 库 安全 

1) 审计 内 容 : 数据 库 用 户 设 定 和 权限 分 配 、 数 据 库 访问 身份 验证 、 数 据 库 完 整 
性 、 数 据 库 访 问 性 能 。 

2) 具体 审计 项 : 查看 数据 库 安全 日 志文 件 、 查 看 数据 库 性 能 日 志文 件 、 查 看 数据 
库 用 户 和 用 户 组 设 定 及 相应 的 权限 设 定 、 运 行 数据 库 健康 测试 工具 ， 检 查 数 据 库 内 数据 
和 数据 关系 的 完整 性 。 

3) 审计 频率 : 查看 数据 库 用 户 和 用 户 组 设 定 及 相应 的 权限 设 定 、 运 行 数据 库 健康 
测试 工具 ， 检 查 数 据 库 内 数据 和 数据 关系 的 完整 性 等 工作 ， 需 要 每 季度 进行 一 次 ， 其 他 
工作 需 每 周 进行 一 次 。 

4) 审计 方式 : 利用 集中 日 志 管 理 系 统 完 成 日 志 信息 的 收集 和 处 理 ; 其 他 的 采用 人 
工 收集 和 审计 。 

(4) 数据 备份 和 恢复 

1) 审计 内 容 : 数据 备份 和 恢复 计划 及 执行 情况 、 备 份 应 用 程序 、 备 份 介质 管理 制 
度 及 执行 情况 、 备 份 和 恢复 操作 制度 及 执行 情况 。 

2) 具体 审计 项 : 查看 备份 应 用 程序 的 运行 日 志文 件 、 查 看 备份 介质 记录 、 查 看 备 
份 介质 管理 记录 、 查 看 备份 和 恢复 操作 记录 、 热 机 备份 测试 、RAID 磁盘 备份 测试 、 备 
用 机 测试 、 查 看 离线 备份 管理 记录 、 离 线 备 份 介质 可 用 性 测试 、 离 线 备 份 系统 可 用 性 测 
试 、 备 份 系统 和 生产 系统 切换 测试 、 备 份 介质 存放 地 点 检查 。 

3) 审计 频率 : 查看 离线 备份 管理 记录 、 离 线 备 份 介质 可 用 性 测试 、 离 线 备 份 系统 
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可 用 性 测试 、 备 份 系统 和 生产 系统 切换 测试 、 备 份 介质 存放 地 点 检查 等 工作 ， 需 每 季度 
进行 一 次 ; 热机 备份 测试 、RAID 磁盘 备份 测试 、 备 用 机 测试 等 工作 ， 每 月 进行 一 次 ， 
其 他 工作 需 每 周 进行 一 次 。 

4) 审计 方式 : 人 工 审计 。 

4. 业务 层面 

业务 层面 的 安全 重点 是 对 账号 集中 审计 管理 ， 以 及 对 关键 业务 操作 行为 的 审计 。 

(1) 账号 管理 

1) 审计 内 容 : 账号 分 配 情 况 、 账 号 创建 情况 、 账 号 变更 情况 。 

2) 具体 审计 项 : 账号 的 创建 时 间 、 创 建 人 ， 从 账号 的 创建 时 间 、 创 建 人 信息 ， 账 
号 的 变更 时 间 、 变 更 人 、 变 更 内 容 ， 账 号 冻结 、 解 冻 时 间 、 操 作 人 员 ， 从 主 账号 分 配给 
附属 账号 的 分 配 时 间 、 分 配 者 ， 主 、 附 属 账号 的 有 限期 等 。 

3) 审计 频率 : 每 季度 一 次 。 

4) 审计 方式 ， 通过 集中 账号 管理 系统 收集 账号 的 审计 数据 ， 如 果 没 有 集中 账号 管 
理 系统 便 采 用 人 工 审计 。 

(2) 账号 授权 

1) 审计 内 容 : 账号 授权 过 程 、 账 号 当前 使 用 权限 。 

2) 具体 审计 项 : 包括 账号 的 访问 权限 ， 查 询 资源 的 授权 访问 者 ， 权 限 的 分 配 时 
间 、 分 配 者 等 ， 账 号 权限 变更 时 间 、 变 更 人 员 、 变 更 内 容 ， 账 号 当前 对 应 的 权限 是 否 与 
该 账号 所 进行 操作 的 对 应 权限 一 致 。 

3) 审计 频率 : 每 周一 次 。 

4) 审计 方式 : 通过 集中 账号 管理 系统 收集 账号 的 审计 数据 ， 如 果 没 有 集中 账号 管 
理 系统 便 采 用 人 工 审计 。 

(3) 登录 行为 

1) 审计 内 容 : 成 功 登 录 、 失 败 登 录 、 登 录 顺 序 。 

2) 具体 审计 项 : 包括 什么 人 用 什么 账号 在 什么 时 间 登 录 了 什么 系统 ， 什 么 时间 登 
出 等 ;账号 失败 登录 使 用 的 账号 、 频 率 、 时 间 等 ; 同一 个 账号 在 一 段 周期 (可 设置 ) 
内 登录 业务 系统 的 顺序 。 

3) 审计 频率 : 每 周一 次 。 

4) 审计 方式 ， 通过 集中 账号 管理 系统 收集 账号 的 审计 数据 ， 如 果 没 有 集中 账号 管 
理 系统 便 采 用 人 工 审计 。 

(4) 业务 操作 

1) 审计 内 容 : 网 络 管理 行为 、 数 据 库 操作 、 关 键 操 作 。 

2) 具体 审计 项 : 对 在 维护 工作 中 使 用 FTPZTelnet 的 各 种 操作 进行 审计 ， 获 得 全 部 
操作 记录 和 结果 ， 实 现 Ftp/Telnet 命令 级 细 粒 度 访问 策略 审计 ; 对 Ftp/Telnet 的 操作 执 
行 回 放 ， 还 原 操作 内 容 ， 记 录 与 登录 者 身份 不 符合 的 SQL 命令 、 应 用 操作 命令 或 流程 ， 
基于 对 指定 的 数据 库 对 象 (如 数据 库 、 表 、 视 图 、 存 储 过 程 等 ) 和 指定 操作 (如 创建 、 
修改 、 添 加 、 删 除 等 ) 进行 审计 ; 基于 自 定义 的 关键 字 进 行 访 问 控制 和 审计 ， 通 过 审 
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计 输 出 界面 ， 对 SQL 命令 的 截获 、 分 析 和 还 原 ， 审 计 关 键 操作 的 结果 ， 实 现 对 主流 数 
据 库 的 审计 ; 对 于 系统 配置 数据 的 删除 操作 进行 审计 ; 通过 制定 数据 库 关 键 字段 、 关 键 
操作 进行 审计 ; 根据 操作 时 序 顺 序 对 操作 行为 进行 审计 ; 对 于 关键 操作 关联 操作 账号 的 
权限 范围 进行 审计 。 

3) 审计 频率 : 每 周一 次 。 

4) 审计 方式 : 必须 通过 业务 行为 审计 手段 收集 网 络 管理 行为 数据 ， 结 合 人 工 操作 
进行 审计 。 

(5) 互联 网 访问 行为 〈 此 项 审计 限于 严格 控制 与 互联 网 访问 的 系统 中 ) 

1) 审计 内 容 : 互联 网 访问 行为 。 

2) 具体 审计 项 : 互联 网 网 站 访问 行为 审计 ， 网 站 发 帖 (BBS) 审计 ， 邮 件 收 发 、 
Webmail 发 送审 计 ，FTP、TELNET 维护 行为 审计 ， 网 络 游戏 、 即 时 通讯 、P2P 下 载 等 行 
为 审计 。 

3) 审计 频率 : 每 周一 次 。 

4) 审计 方式 : 必须 通过 业务 行为 审计 手段 收集 网 络 管理 行为 数据 ， 结 合 人 工 操作 
进行 审计 。 


12.1.4 信息 安全 审计 流程 


言 息 安全 审计 的 工作 应 定期 化 的 开展 ， 以 及 时 识别 信息 安全 管理 过 程 中 存在 的 问题 
及 达到 持续 改进 的 效果 。 

1. 制订 年 度 信 息 安全 审计 计划 

成 立信 息 安全 审计 组 ， 信 息 安 全 审计 组 组 长 应 编制 《信息 安全 年 度 审计 计划 》， 确 
定 当 年 信息 安全 审计 的 范围 、 工 作 时 间 、 团 队 的 组 成 ， 以 及 年 度 信息 安全 审计 的 开展 方 
式 ， 如 内 部 审计 的 方式 或 外 包 审 计 的 方式 ， 并 上 报 管理 层 批准 。 

言 息 安全 审计 团队 的 组 建 是 其 中 的 关键 步骤， 信息 安全 审计 团队 的 成 员 必 须 保持 其 
审计 独立 性 ， 信 息 安 全 审计 人 员 不 得 审计 与 其 本 人 负责 的 工作 相关 的 内 容 。 

言 息 安 全 审计 组 组 长 主持 内 部 信息 安全 管理 体系 并 审核 策划 活动 ， 信 息 安 全 审计 组 
根据 策划 的 结果 制订 《信息 安全 内 审计 划 》。 

《信息 安全 内 审计 划 》 需 规定 本 年 度 对 各 业务 、 流 程 或 部 门 的 审查 频次 、 预 计时 间 
和 审查 范围 。 内 审 频 次 应 取决 于 其 现状 和 目前 管理 工作 的 需要 性 ， 并 考虑 以 往 审 核 的 结 
果 。 必 要 时 ， 信 息 安全 审计 组 召开 准备 会 议 ， 组 长 应 召集 成 员 及 相关 接口 人 做 好 审查 组 
织 安排 及 过 程 策划 ， 信 息 安全 审计 组 成 员 要 进行 交叉 审核 ， 即 本 部 门 的 员工 不 允许 审核 
本 部 门 。 

内 审计 划 在 审核 实施 一 周 前 发 放 给 相关 职能 部 门 ， 计 划 应 包括 : 

1) 审核 目的 、 范 围 和 方式 。 

2) 审核 依据 、 审 核 日 期 。 

3) 内 审 组 成 员 分 工 及 审核 日 程 安排 。 
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4) 要 求 受审 核 部 门 或 人 员 配 合 的 事项 。 受 审 部 门 只 允许 由 与 该 部 门 业 务 无 直接 关 
系 的 内 审 人 员 审 核 。 

在 发 生 下 列 情况 时 ， 通 过 管理 层 批 准 可 进行 追加 审计 : 

今 发 生 重大 信息 安全 事故 时 。 

作 其 他 管理 层 认 为 需要 追加 审计 的 原因 。 

2. 执行 信息 安全 审计 的 任务 

执行 信息 安全 审计 任务 的 主要 工作 包括 相关 会 议 的 召开 、 现 场 工作 及 信息 安全 审计 
发 现 的 确认 。 信 息 安全 审计 团队 通过 访谈 、 审 阅 相 关 资 料 、 现 场 检查 、 测 试 等 相关 审计 
方法 ， 检 查 银 行当 前 信息 安全 管理 的 运行 情况 。 在 信息 安全 审计 任务 执行 完 以 后 ， 需 针 
对 审计 发 现 启动 纠正 预防 措施 流程 ， 对 在 审计 中 发 现 的 问题 进行 整改 。 

这 息 安全 审计 组 组 长 必要 时 应 在 现场 审核 前 召开 首次 会 议 阐明 内 审 目的 、 范 围 和 依 
据 ; 明确 各 部 门 的 审核 陪同 人 员 ， 征 求 受 审核 部 门 对 内 审 工作 的 意见 ， 并 对 受审 查 部 门 
提出 的 异议 予以 协调 。 

受审 查 方 须 按 内 审计 划 委派 审核 障 同 人 员 ， 陪 同人 员 应 对 自身 业务 有 足够 了 解 并 能 
提供 见证 性 文件 记录 ， 以 配合 审核 工作 的 顺利 进行 。 

(1) 现场 审查 

1) 取证 应 按照 计划 要 求 进行 ,无 特殊 情况 ， 不 得 随意 偏离 计划 的 安排 。 

2) 对 于 暗示 着 不 符合 的 线索 ， 即 使 不 在 检查 之 列 ， 也 应 予以 检查 ， 并 提出 采取 改 
进 措施 的 建议 。 

3) 内 审 员 应 正确 、 合 理 控 制 审核 结果 ， 客 观 、 公 正 评价 体系 的 符合 性 和 有 效 性 。 

4) 现场 发 现 的 不 符合 现象 ， 若 不 能 与 受审 部 门 达成 一 致意 见 时 ， 应 加 以 记录 并 确 
认 间 题 现状 后 ， 在 末次 会 议 上 由 内 审 组 长 与 受审 核 方 沟通 后 裁决 。 

(2) 审查 记录 要 求 

1) 关键 事件 的 描述 应 直接 引用 其 原始 信息 ， 不 得 用 主观 的 综合 评述 语言 。 

2) 关键 事件 的 记录 应 保持 可 追溯 性 ， 即 记录 中 应 尽量 包括 其 起 止 时 间 、 地 点 、 人 
物 和 文件 记录 名 称 、 编 码 、 序 号 ， 关 键 事项 等 。 

3) 因 记 录 不 便 或 其 他 不 适合 情况 ， 可 以 提取 其 复印 件 。 

在 末次 会 议 上 ， 信 息 安 全 审计 组 应 向 管理 者 代表 和 受审 核 部 门 报告 审 查 情况 ， 并 由 
管理 者 代表 (或 指定 的 信息 安全 审计 组 长 ) 协调 、 落 实 确定 的 不 合格 项 的 纠正 或 采取 
改进 措施 的 责任 部 门 。 

3. 审计 报告 

言 息 安全 审计 组 以 “不 符合 项 报告 ”的 形式 将 不 符合 项 通知 到 相关 责任 部 门 。 责 
任 部 门 收 到 “不 符合 项 报告 ”后 需 尽 快 分 析 问 题 原因 ， 给 出 纠正 和 预防 措施 ， 并 在 规 
定 的 期 限 内 反馈 改进 承诺 。 

在 完整 的 体系 内 部 审核 结束 后 ， 安 全 管理 小 组 应 总 结 审核 过 程 及 审核 发 现 编制 审核 
报告 ， 报 告 应 包括 : 
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1) 审核 报告 编号 、 审 核 的 目的 、 范 围 和 依据 。 

2) 审核 日 期 和 方法 。 

3) 内 审 组 成 员 名 单 (姓名 、 部 门 、 职 务 ) 。 

4) 审核 结果 (不 符合 项 数目 、 分 类 及 评价 ) 。 

5) 审核 结论 (符合 性 、 有 效 性 、 适 合 性 及 信息 安全 保证 能 力 ) 。 

6) 组 长 签名 及 领导 批准 。 

7) 附件 目录 (审核 日 程 计划 、 不 符合 项 报告 、 签 到 表 等 ) 。 

8) 分 发 范围 清单 。 

审核 报告 经 管理 者 代表 批准 后 发 放 ， 原 件 由 安全 管理 小 组 存档 ， 作 为 管理 评审 输入 
的 一 部 分 。 审 核 完 成 后 要 对 内 审结 果 进 行 整理 与 分 析 。 

纠正 预防 措施 预定 日 期 已 到 或 接 到 完成 通知 时 ， 银 行 的 信息 安全 审计 组 长 应 指派 审 
计 人 员 到 受审 计 方 验证 其 纠正 预防 措施 完成 情况 ， 验 证 有 效 后 ， 信 息 安全 审计 组 长 应 在 
《纠正 预防 措施 表 》 的 “整改 结果 验证 评估 ” 栏 中 签字 。 

言 息 安 全 审计 报告 及 相应 的 审计 证 据 、 审 计 发 现 的 纠正 预防 措施 表 及 跟踪 验证 的 审 
计 资 料 ， 作 为 银行 内 部 重要 且 人 敏感 的 信息 资产 应 妥善 保管 。 

审核 中 发 现 有 不 符合 项 的 责任 部 门 ， 应 立即 将 发 现 的 不 良 现象 控制 或 消除 、 调 查分 
析 产 生 问题 的 原因 、 评 价 确保 不 合格 不 再 发 生 的 措施 的 需求 、 针 对 原因 提出 纠正 预防 措 
施 、 彻 底 付 诸 实施 并 控制 纠正 预防 措施 的 执行 情况 、 记 录 所 采取 的 纠正 措施 的 结果 。 

负责 跟踪 验证 的 内 审 员 应 协助 责任 部 门 纠正 措施 的 制定 与 实施 ， 评 审 所 采取 的 纠正 
措施 的 效果 ， 具 体 包括 : 

1) 评价 措施 是 否 针对 提出 的 不 符合 项 进行 ， 若 有 其 他 问题 也 应 指出 。 

2) 原因 是 否 彻 底 分 析 清 楚 ， 是 否 抓 住 要 害 。 

3) 实施 过 程 中 有 无 困难 ， 是 否 需 要 配合 和 支持 。 

4) 涉及 文件 更 改 、 体 系 调整 的 是 否 有 效 执 行 。 

5) 是 否 在 要 求 的 时 限 内 完成 。 

6) 重新 抽样 验证 的 最 终 效果 如 何 。 

7) 有 无 必要 的 记录 ， 记 录 控 制 得 如 何 。 

在 “不 符合 项 报告 ”规定 的 期 限 内 ， 跟 踪 人 员 要 对 不 合格 项 目 进行 跟踪 验证 和 报 
告 ， 有 纠正 措施 且 可 以 防止 同类 问题 再 次 发 生 的 ， 则 可 “关闭 ”。 当 责任 部 门 不 能 按时 
有 效 提供 纠 改 预防 措施 时 ， 可 升级 问题 。 

所 有 的 内 审计 划 、 通 知 、 记 录 、 报 告 等 ， 都 应 妥善 归档 于 安全 管理 小 组 或 审查 项 目 
组 织 部 门 ， 纠 正和 预防 措施 的 跟踪 验证 报告 应 作为 管理 评审 输入 的 一 部 分 。 
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技术 篇 


除 信息 安全 管理 外 ， 信 息 安全 技术 同样 是 保证 银行 信息 系统 安全 不 可 或 缺 的 部 
分 。 信 息 安 全 技术 主要 通过 在 信息 系统 中 部 署 合 适 的 软 硬 件 ， 并 正确 配置 其 安全 功 
能 来 实现 。 本 篇 将 讲述 保障 银行 信息 系统 安全 的 相关 技术 。 


第 13 章 ”信息 安全 技术 模型 
第 14 章 物理 安全 

第 15 章 网 络 安全 

第 16 章 主机 安全 

第 17 章 ”应 用 安全 

第 18 章 密码 和 身份 鉴别 技术 
第 19 章 数据 安全 


第 20 章 安全 检测 与 渗透 测试 技术 
第 21 章 安全 运营 技术 


第 13 前 
信息 安全 技术 模型 


言 息 安全 模型 在 信息 系统 安全 建设 中 起 着 重要 的 指导 作用 ， 可 以 精确 而 形象 地 描述 
信息 系统 的 安全 属性 ， 准 确 地 描述 安全 的 重要 方面 与 系统 行为 的 关系 ， 能 够 提高 成 功 实 
现 关键 安全 需求 的 理解 层次 ， 并 且 能 够 从 中 开发 出 一 套 安全 性 评估 准则 和 关键 的 描述 变 
量 。 而 信息 安全 技术 模型 是 信息 安全 模型 的 子 集 ， 一 个 好 的 信息 安全 模型 必然 带 有 一 个 
好 的 信息 安全 技术 模型 。 

ISOZ0OSI 安全 体系 为 信息 安全 问题 的 解决 提供 了 一 种 可 行 的 方法 ， 但 其 操作 性 方面 
与 实际 情况 还 有 一 定 差距 ， 特 别 是 在 表现 技术 实现 上 ， 对 实际 工作 的 指导 意义 还 不 够 。 

在 信息 安全 工作 中 ， 一 般 采 用 PDR (保护 、 检 测 和 响应 ) 、PPDR (安全 策略 、 保 
护 、 检 测 和 响应 ) 、PDRR ( 保护、 检测、 响应 和 恢复 ) 、MPDRR (管理 、 保 护 、 检 测 、 
响应 和 恢复 ) 和 WPDRRC 等 动态 可 适应 安全 模型 ， 来 指导 信息 安全 实践 活动 。 

考虑 到 对 中 国 国 情 的 适应 性 和 中 国 银 行业 对 信息 安全 的 高 度 重 视 ， 信 息 安 全 的 投入 
相对 有 保障 等 因素 ， 本 书 将 以 WPDRRC 模型 为 基础 ， 构 建 信息 安全 技术 的 层次 技术 
模型 。 


13.1 WPDRRC 介绍 


WPDRRC 模型 是 我 国 “ 八 六 三 ”信息 安全 专家 组 提出 的 适合 中 国 国 情 的 信息 系统 
安全 保障 体系 建设 模型 ， 它 在 PDRR 模型 的 前 后 增加 了 预警 和 反击 功能 ， 有 六 个 环节 和 
三 大 要 素 。 六 个 环节 包括 预警 、 保 护 、 检 测 、 啊 应 、 恢 复 和 反击 ， 它 们 具有 较 强 的 时 序 
性 和 动态 性 ， 能 够 较 好 地 反映 出 信息 系统 安全 保障 体系 的 预警 能 力 、 保 护 能 力 、 检 测 能 
力 、 响 应 能 力 、 恢 复 能 力 和 反击 能 力 。 三 大 要 素 包 括 人 员 、 策 略 和 技术 ， 人 员 是 核心 ， 
策略 是 桥梁 ， 技 术 是 保证 ， 落 实在 WPDRRC 六 个 环节 的 各 个 方面 ， 将 安全 策略 变 为 安 
全 现实 。WPDRRC 模型 的 结构 如 图 13-1 所 示 。 

WPDRRC 模型 在 实际 工作 中 发 挥 着 日 益 重 要 的 作用 ， 它 所 包含 的 六 个 环节 ， 其 内 
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恢复 R 检测 D | 恢复 Restore 


| 反击 Counterattack 
响应 R 


图 13-1 WPDRRC 模型 


容 如 下 : 

1) 预警 : 通过 检测 等 手段 ， 事先 掌握 系统 的 脆弱 性 ， 了 人 解 当 前 环境 的 各 种 威胁 和 
犯罪 趋势 ,预测 未 来 可 能 受到 的 攻击 ， 以 及 可 能 承受 的 损失 。 

2) 保护 : 指 采取 各 种 手段 ， 来 防护 信息 安全 系统 ， 阻 止 可 以 发 生 攻 击 的 条 件 的 产 
生 ， 让 攻击 者 无 法 顺利 地 入 侵 信 息 系统 ， 以 此 来 减少 大 多 数 的 入 侵 事 件 。 

3) 检测 : 利用 各 种 技术 手段 和 工具 ， 检 测 系 统 中 是 否 存 在 黑客 攻击 或 者 其 他 可 能 
影响 系统 安全 的 威胁 因素 ， 包 括 可 能 被 攻击 者 利用 的 黑客 工具 、 病 毒 、 各 种 漏洞 等 。 

4) 响应 : 通过 综合 手段 建立 起 来 的 快速 响应 机 制 ， 如 报警 、 跟 踪 、 处 理 〈 封 堵 、 
隔离 、 报 告 ) 等 ， 实 时 阻止 已 经 发 生 或 即将 发 生 的 攻击 行为 ， 避 人 免 或 者 减少 攻击 行为 
造成 的 实际 伤害 。 

5) 恢复 : 对 所 有 数据 进行 备份 ， 并 采用 容错 、 宛 余 、 替 换 、 修 复 和 一 致 性 等 手 
段 ， 保 证 信息 系统 受到 冲击 时 ， 能 迅速 恢复 正常 运转 。 

6) 反击 : 具备 一 定 取证 手段 ， 利 用 各 种 技术 手段 和 工具 ， 去 发 现 攻击 的 线索 和 证 
据 ， 并 向 有 关机 构 提 供 相关 信息 和 依据 ; 具备 一 定 打击 手段 ， 在 法 律 框 架 内 ， 依 法 打击 
犯罪 和 网 络 钨 怖 分 子 。 


13.2 安全 技术 的 层次 结构 模型 


安全 技术 对 信息 系统 的 保护 不 仅 体现 在 WPDRRC 的 各 个 环节 中 ， 还 体现 在 直接 保 
护 对 象 的 差异 上 ， 它 体现 了 不 同 层次 的 需求 。 

按照 中 国 等 级 保护 体系 的 要 求 ， 可 以 将 技术 要 求 分 为 物理 安全 、 网 络 安全 、 主 机 安 
全 、 应 用 安全 和 数据 安全 等 五 个 层面 ， 其 层级 结构 模型 如 图 13-2 所 示 。 

1) 物理 安全 : 是 指 为 了 保证 信息 系统 安全 可 靠 地 运行 ， 确 保 信 息 系统 在 对 信息 进 
行 采 集 、 处 理 、 传 输 、 存 储 过 程 中 ， 不 至 于 受到 人 为 或 自然 因素 的 危害 ， 而 使 信息 丢 
失 、 汇 露 或 被 破坏 ,对 计算 机 设备 、 设 施 (包括 机 房 建筑 、 供 电 、 空 调 等 )、 环 境 人 
员 、 系 统 等 采取 适当 的 安全 措施 。 
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2) 网 络 安全 : 是 指 网 络 系统 的 硬件 、 软 件 及 其 系统 中 的 数据 受到 保护 ， 不 因 偶然 
的 或 者 恶意 的 原因 而 遭受 破坏 、 更 改 、 汇 露 ， 系 统 能 连续 可 靠 正 常 地 运行 ， 网 络 服务 不 
中 断 。 从 而 确保 网 络 数据 和 通信 的 可 用 性 、 完 整 性 和 保密 性 。 

3) 主机 安全 : 是 指 通过 各 种 手段 ， 保 证 主机 在 数据 存储 和 处 理 时 的 保密 性 、 完 整 
性 、 可 用 性 ， 它 包括 硬件 、 固 件 、 系 统 软件 的 自身 安全 ， 以 及 一 系列 附加 的 安全 技术 和 
安全 管理 措施 ， 从 而 建立 一 个 完整 的 主机 安全 保护 环境 。 

4) 应 用 安全 : 就 是 保障 应 用 程序 使 用 过 程 和 结果 的 安全 ， 是 针对 应 用 程序 或 工具 
在 使 用 过 程 中 可 能 出 现 的 计算 、 传 输 数 据 的 泄露 和 失 宅 ， 通 过 各 种 安全 工具 和 手段 来 消 
除 隐患 。 

5) 数据 安全 : 通过 采用 各 种 手段 ， 使 信息 系统 正常 运行 ， 从 而 确保 所 有 数据 的 可 
用 性 、 完 整 性 和 保密 性 ; 数据 安全 还 包括 备份 和 恢复 等 内 容 ， 保 证 信息 系统 在 遭受 巨大 
冲击 时 ， 可 以 及 时 地 恢复 数据 ， 恢 复 正 常 运行 。 


图 13-2 安全 技术 层级 结构 模型 


13.3 基于 WPDRRC 的 层次 技术 模型 


安全 技术 手段 ,一 方面 在 WPDRRC 模型 的 预警 、 保 护 、 检 测 、 响 应 、 恢 复 和 反击 
六 个 环节 中 分 别 发 挥 作用 ; 另 一 方面 ， 从 安全 技术 的 保护 对 象 和 层次 来 看 ， 又 可 以 在 物 
理 安全 、 网 络 安全 、 主 机 安全 、 应 用 安全 和 数据 安全 等 五 个 层面 发 挥 作 用 。 两 个 维度 结 
合 ， 就 能 精确 地 描述 出 安全 技术 在 整个 信息 安全 中 的 作用 。 

在 银行 业 ， 信 息 安 全 保障 的 高 要 求 导致 大 量 的 安全 技术 被 采用 ， 常 用 的 信息 安全 技 
术 手 段 与 WPDRRC 层次 模型 的 对 应 关系 见 表 13-1。 
后 面 将 按照 物理 安全 、 网 络 安全 、 主 机 安全 、 应 用 安全 、 数 据 安 全 五 个 层面 展开 描 
述 ， 其 中 的 密码 技术 和 安全 工具 、 安 全 检测 与 渗透 测试 、 安 全 运营 技术 、 灾 难 备份 与 恢 
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复 部 分 内 容 涉 及 多 个 层面 ， 且 内 容 比 较 多 ， 也 以 独立 章节 的 形式 做 了 描述 。 


表 13-1 常用 的 信息 安全 技术 手段 与 WPDRRC 层次 模型 的 对 照 
预防 保护 检测 响应 恢复 反击 
门禁 
Ee 门禁 UPS 视频 监控 ey 
物理 层 物理 区 域 隔离 防火 设备 烟雾 探测 视频 监控 容 灾 中 心 (无 ) 
防水 设备 
入 侵 保护 
漏洞 扫描 系统 防火 墙 入 侵 检测 IDS 
VLAN 技术 VPN 入侵 防御 IPS 。 | 时 关注 是 让 管 | 网 络 备份 与 恢复 | 了 地 址 反 追 踪 
网 络 层 安全 域 划分 与 控制 WEB 应 用 防火 墙 | 异常 流量 路 管 系统 | 四 叭 放生 过 给 | 。 双 链 路 流量 干扰 
无 线 网 络 安全 技术 | DDos 防御 网 关 | 网 络 日 志 审 计 “| 网 络 安全 运 维 | 。 双 机 热 备 ”| 证 据 采集 
设备 补丁 管理 “| 网 络 准 入 系统 “| 。 渗透 测试 
防 病毒 网 关 
天 侵 保护 病毒 防护 
漏洞 扫 措 系统 | 。 pe 。 病毒 防护 “| 系统 备份 与 恢复 
系统 补丁 管理 | WPB 应 用 防火 增 | 。 滩 泛 测试 ”| 应 急 响应 技术 | 双 机 热 备 
安全 加 恩 abe pad 服务 器 集群 
主机 层 身份 鉴别 网 站 综合 监控 ee 
( 含 终端 ) 访问 控制 4A 平台 证 据 采 集 
终端 安全 管理 技术 
终端 安全 管理 技术 | 存储 介质 保护 ”| ”数据 防 汇 沁 ”| 防 病毒 系统 本 
网 络 准 入 数据 防 汇 漏 防 病毒 系统 | 应 急 响应 技术 
防 病毒 系统 
a 入 侵 保护 
疹 讽 机 pe 
0 WEB 应 用 防火 墙 | “应 用 漏洞 扫描 权限 控制 
应 用 层 | 。 论 寺 科 安保 平台 应 用 日 志 审 计 “| 应 急 响 应 技术 ”负载 均衡 ”| 反 钓 鱼 技术 
安全 开发 身份 鉴别 渗透 测试 证 据 采 集 
E 访问 控制 
二 
数据 层 | 数据 加 密 管理 技术 | 。 数据 脱 伺 Be ee 应 急 响应 技术 | 数据 备份 与 恢复 | 证 据 采 集 
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物理 安全 


物理 安全 保护 的 目的 主要 是 使 存放 计算 机 、 网 络 设备 的 机 房 及 信息 系统 的 设备 和 存 
放 数 据 的 介质 等 免 受 物理 环境 、 自 然 灾害 ， 以 及 人 为 的 误 操 作 和 恶意 操作 等 各 种 威胁 所 
产生 的 风险 。 物 理 安全 是 防护 信息 系统 的 最 底层 ， 缺 乏 物理 安全 ， 其 他 任何 安全 措施 都 
将 变 得 毫 无 意义 ， 因 此 物理 安全 是 银行 信息 安全 建设 的 重要 内 容 。 本 章 介绍 了 物理 安全 
的 基本 概念 、 物 理 安全 要 素 及 物理 安全 的 要 求 与 内 容 。 


14.1 物理 安全 概述 


物理 安全 是 指 为 了 保证 信息 系统 安全 可 靠 地 运行 ， 确 保 信息 系统 在 对 信息 进行 采 
集 、 处 理 、 传 输 、 存 储 的 过 程 中 ， 不 至 于 受到 人 为 或 自然 因素 的 危害 ， 而 使 信息 丢失 、 
泄露 或 被 破坏 ， 对 计算 机 设备 、 设 施 (包括 机 房 建筑 、 供 电 、 空 调 等 )、 环 境 人 员 、 系 
统 等 采取 适当 的 安全 措施 。 物 理 安全 的 直接 保护 对 象 是 人 硬 设备 ， 便 设备 的 安全 是 信息 系 
统 安 全 的 基础 。 

物理 安全 通常 包括 计算 机 机 房 (数据 中 心 ) 及 办 公 环 境 的 物理 安全 。 


14.2 物理 安全 要 素 


14.2.1 物理 资产 分 类 


物理 资产 指 信息 系统 中 的 各 种 硬件 、 软 件 和 物理 设施 ， 其 通常 的 分 类 方式 有 : 
1) 计算 机 设备 : 各 种 服务 器 、 桌 面 计算 机 、 笔 记 本 电脑 等 。 
2) 通信 设备 : 路 由 器 、 交 换 机 、 防 火 墙 等 。 
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3) 技术 设备 : 电源 、 不 间断 电源 (UPS) 、 空 调 等 。 
4) 存储 介质 : 光盘 、U 盘 、 磁 带 等 。 

5) 家 具 及 固定 装置 : 机 柜 、 机 架 等 。 

6) 其 他 。 


14.2.2 物理 安全 威胁 


言 息 系统 物理 安全 面临 多 种 威胁 ， 既 可 能 面临 自然 、 环 境 和 技术 故障 等 非 人 为 因素 
的 威胁 ， 也 可 能 面临 人 员 失 误 和 亚 意 攻击 等 人 为 因素 的 威胁 ， 这 些 威 胁 通过 破坏 信息 系 
统 的 保密 性 ( 如 电磁 泄漏 类 威胁 ) 、 完 整 性 ( 如 各 种 自然 灾难 类 威胁 )、 可 用 性 〈 如 技 
术 故 障 类 威胁 ) 进而 威胁 信息 的 安全 。 造 成 威胁 的 因素 可 分 为 人 为 因素 和 环境 因素 。 
根据 威胁 的 动机 ， 人 为 因素 又 可 分 为 恶意 和 非 恶 意 两 种 ;环境 因素 包括 自然 界 不 可 抗 的 
因素 和 其 他 物理 因素 。 表 14-1 对 物理 安全 威胁 的 种 类 进行 了 描述 。 


表 14-1 物理 安全 威胁 种 类 清 


种 类 描述 
然 灾害 鼠 蚁 虫害 洪灾、 火灾、 地 震 等 
电 、 磁 环境 影响 断 电 电压 波动 静电、 电磁 干扰 等 
物理 环境 影响 灰尘 潮湿 温度 等 
软 硬 件 故 障 由 于 设备 硬件 故障 、 通 信和 链 路 中 断 、 系 统 本 身 或 软件 缺陷 对 信息 系统 安全 造成 的 影响 
物理 攻击 物理 接触 .物理 破坏 .盗窃 
无 作为 或 操作 失误 人 执行 相应 的 操作 ,或 无 意 地 执行 了 错误 的 操作 , 对 信息 系统 造成 的 
管理 不 到 位 物理 安全 管理 无 法 落实 或 不 到 位 ,造成 物理 安全 管理 不 规范 ,或 者 管理 混乱 ,从 而 破坏 环 


境 信息 系统 ,使 其 正常 有 序 地 运行 


恶意 代码 和 病毒 改变 物理 设备 的 配置 ,甚至 破坏 设备 硬件 电路 ,致使 物理 设备 失效 或 损坏 
网 络 攻击 利用 工具 和 技术 ,如 拒绝 服务 等 手段 ,非法 占用 系统 资源 ,降低 信息 系统 可 用 性 
越权 或 小 通过 采用 一 些 措施 ,超越 自己 的 权限 访问 了 本 来 无 权 访问 的 资源 ,或 者 滥用 自己 的 职权 ， 
做 出 破坏 信息 系统 的 行为 ,如 非法 设备 接 入 .设备 非法 外 联 
See 设计 阶段 出 现 明显 的 系统 可 用 性 漏洞 系统 未 能 正确 有 效 配置 、 系 统 扩容 和 调整 引起 的 
设计 配置 缺陷 


错误 


14.2.3 物理 安全 脆弱 性 


脆弱 性 是 信息 系统 本 身 存 在 的 ， J \ 是 要 利用 信息 系统 的 脆弱 性 造成 危害 。 物 理 
设备 安全 的 脆弱 性 可 以 从 以 下 方面 进行 识别 : 防 电磁 信息 泄露 、 抗 电磁 干扰 、 bh 
及 设备 振动 、 碰 撞 、 冲 击 适应 性 等 ，; a 安全 的 脆弱 性 可 以 从 以 下 方面 进行 识别 : 
机 房 场地 选择 、 机 房 屏 蔽 、 防火、 防水 、 防 雷 、 防 鼠 、 防 盗 防 毁 SP 


统 、 综 合 布线 、 区 域 防护 等 ; 系统 自身 物理 安全 的 脆弱 性 可 以 从 以 下 方面 进行 识别 : 灾 
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难 备份 与 恢复 、 边 界 保护 、 设 备 管 理 、 资 源 利用 等 。 


14.3 物理 安全 的 要 求 及 内 容 


物理 安全 保护 的 要 求 是 复杂 的 ， 其 基本 要 求 包 括 : 

1) 物理 位 置 的 安全 ， 包 括 机 房 和 办 公 场 地 的 位 置 。 

2) 物理 访问 的 控制 。 

3) 防盗 窃 和 防 破 坏 。 

4) 防 雷 击 。 

5) 防火 。 

6) 防水 、 防 潮 。 

7) 防 静 电 。 

8) 温 湿度 控制 。 

9) 电力 供应 。 

10) 电磁 防护 。 

上 述 要 求 对 于 银行 数据 中 心 和 办 公 环 境 均 适 合 。 考 虑 到 叙述 的 简洁 性 ， 以 下 主要 从 
数据 中 心 的 角度 进行 说 明 。 


14.3.1 物理 位 置 的 选择 


对 于 银行 这 样 的 企业 数据 中 心 运行 着 的 银行 生产 系统 ， 为 确保 数据 的 安全 ， 数 据 中 
心 的 选 址 是 至 关 重要 的 ， 即 必须 在 交通 、 通 信 便 捷 的 地 区 ,而 且 具 有 防震 、 防 风 、 防 雨 
等 能 力 的 建筑 内 。 

在 多 层 建 筑 或 高 层 建筑 物 内 的 机 房 ， 宜 设 于 第 二 至 五 层 ， 不 宜 设 在 一 层 或 顶层 。 

计算 机 系统 受 粉 尘 、 有 害 气体 、 震 动 冲 击 、 电 磁场 干扰 等 因素 的 影响 会 导致 运算 差 
错 、 误 动作 和 机 械 部 件 磨损 ， 缩 短 计算 机 使 用 寿命 。 因 此 机 房 位 置 应 尽 可 能 选择 远离 产 
生 粉 尘 、 有 害 气体 、 强 震源 、 强 噪声 源 等 场所 ， 避 开 强 电磁 场 干扰 。 对 强 电磁 场 干扰 这 
一 因素 ， 必 要 时 需 做 实地 测量 来 确定 。 


14. 3.2 物理 访问 的 控制 


银行 需要 建立 机 房 安 全 管理 制度 ， 对 进出 机 房 的 人 员 进 行 控制 、 鉴 别 和 记录 ， 同 时 
对 进入 机 房 的 来 访 人 员 采 取 申 请 审批 并 在 进入 机 房 后 进行 监控 和 限制 其 活动 范围 。 对 
银行 机 房 的 物理 访问 控制 包括 以 下 八 个 方面 : 

1) 出 入 机 房 区 域 的 所 有 人 员 须 佩戴 机 房 出 入 证 ， 无 证 者 不 能 进入 。 

2) 机 房 工 作 人 员 及 需要 长 期 进入 机 房 区 域 工作 的 人 员 ， 在 得 到 机 房 相 关 部 门 授权 
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后 , 使 用 固定 期 限 出 入 证 出 入 。 

3) 外 来 人 员 (包括 厂家 工程 师 、 参 观 者 及 其 他 外 访 人 员 ) 进入 机 房 区 域 须 事先 预 
约 登记 ， 并 由 相关 人 员 陪 同 ， 在 批准 有 效 期 内 持 临 时 出 入 证 出 入 。 

4) 除 授权 人 员外 ， 任 何 进入 机 房 区 域 的 人 员 须 履行 登记 手续 ， 按 规定 填写 《机 房 
出 人 登记 表 》。 具 体格 式 参见 表 14-2。 

5) 只 有 与 卡号 登记 相符 的 持 卡 人 员 才 可 以 使 用 机 房 门禁 卡 ， 各 持 卡 人 未 经 机 房管 
理 人 员 同 意 ， 不 得 将 门禁 卡 转借 他 人 。 

6) 人 员 进 入 机 房 ， 禁 止 携带 可 能 影响 和 威胁 机 房 正 常 运行 的 物品 ， 如 食品 和 饮 
料 ， 香 烟 ， 易 燃 易 爆 物品 ， 电 磁 设 备 ， 放 射 性 物品 ， 以 及 任何 照相 机 和 录音 器 材 等 。 

7) 计算 机 等 设备 的 出 入 须 遵 守 机 房 移入 移出 设备 管理 规定 ， 履 行 设备 移 人 、 移 出 
的 申请 和 登记 流程 。 

8) 进入 机 房 区 域 的 人 员 须 遵守 关于 机 房 的 各 项 规章 制度 。 

表 14-2 机 房 出 入 登记 表 


进入 机 房 
授权 人 员 签 字 


姓名 单位 进入 机 房事 由 


进入 (日 期 /时 间 ) | 离开 (日 期 /时 间 ) 


14.3.3 防盗 窃 和 防 破坏 


银行 应 将 主要 设备 放置 在 机 房 内 ， 对 机 房 的 所 有 资产 进行 介质 分 类 标识 ， 形 成 档案 
或 介质 库 进 行 保存 。 对 于 机 房 的 通信 线 缆 ， 应 将 其 铺设 在 地 下 或 管道 中 进行 隐藏 以 免 遭 


到 破坏 。 
建立 机 房 设施 与 环境 监控 系统 ， 对 机 房 空 调 、 消 防 、 不 间断 电源 (UPS) 、 供 配 电 、 
门禁 系统 等 重要 设施 实行 全 面 监 控 。 


对 机 房 环 境 一 般 实行 7 x24 小 时 集中 综合 监控 。 运 行 监测 岗位 的 人 员 实 时 监控 电源 
系统 、 空 调 系 统 和 机 房 环境 ， 定 期 巡 检 、 维 护 场地 设施 ， 填 写 巡 检 日 志 ， 记 录 、 处 理 和 
报告 监控 系统 终端 各 种 声 、 光 告警 模块 发 出 的 报警 信息 。 


14.3.4 防 雷 击 
随 着 金融 电子 化 建设 步伐 的 不 断 加 快 ， 电 子 设备 被 广泛 应 用 于 金融 网 络 的 运行 系统 


中 。 这 些 高 精密 的 电子 计算 设备 富 含 大 量 的 CMOS 半导体 集成 模块 ， 普 遍 存 在 着 绝缘 强 
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度 低 、 过 电压 耐 受 能 力 差 等 致命 弱点 ， 一 旦 遭受 雷击 过 压 的 冲击 ， 会 造成 这 些 电子 系统 
的 运行 中 断 ， 设 备 永 久 性 损坏 ; 重要 的 是 这 些 系 统 所 承 负 的 那些 须 实时 运行 的 后 续 工 作 
的 中 断 次 痪 所 造成 的 不 可 估量 的 直接 与 间接 的 巨大 经 济 损失 和 影响 。 对 雷电 电磁 脉冲 
(LEMP) 的 防护 ， 不 但 是 必要 的 ， 而 且 是 必须 实施 的 。 随 着 电子 设备 的 广泛 应 用 ， 雷 
击 设备 事故 概率 的 增加 及 人 们 防 雷 意识 的 增强 ， 日趋 显 示 了 电 涌 保护 器 ( 防 雷 器 ， 简 
称 SPD) 在 保障 电子 设备 的 运行 安全 性 方面 起 到 的 作用 和 地 位 。 

根据 GB 50057 一 2010《 建 筑 物 防 雷 设计 规范 》 中 规定 ， 银 行 应 为 第 二 类 防 雷 建筑 
物 ， 并 应 按 第 二 类 防 雷 建筑 物 采取 相应 的 防 雷 措施 ; 第 二 类 防 雷 建筑 物 防 直 击 雷 的 措 
施 ， 宜 采用 装 设 在 建筑 物 上 的 避雷 网 ( 带 ) 或 避雷 针 或 由 其 混合 组 成 的 接 闪 器 。 

防 雷 工 程 分 为 直击 雷 和 雷电 感应 两 大 部 分 。 直 击 雷 防御 系统 的 主要 作用 ， 是 捕捉 雷 
电 闪 击 点 ， 保 护 建筑 物 及 室外 部 分 设备 免 受 雷电 的 直接 打击 。 直 击 雷 防御 系统 的 主要 组 
成 部 分 为 接 办 器 (避雷针 、 带 、 网 ) 、 引 下 线 、 接 地 装置 。 雷 电感 应 防御 系统 的 主要 作 
用 ， 是 降低 雷击 时 的 冲击 电位 差 和 雷电 电磁 感应 强度 ， 保 护 电子 设备 免 受 雷击 过 电压 和 
雷电 电磁 脉冲 的 危害 。 雷 电感 应 防御 系统 的 主要 组 成 部 分 为 电磁 屏蔽 、 电 涌 保 护 器 、 等 
电位 连接 。 在 防 雷 工程 设计 时 应 系统 地 、 因 地 制 宜 地 将 直击 雷 防御 和 雷电 感应 防御 有 机 
地 结合 起 来 ， 才 能 保证 整体 防 雷 工程 的 有 效 性 ， 因 此 整体 防 雷 工程 应 从 以 下 几 个 要 素 
着 手 。 

1) 捕捉 雷电 闪 击 。 在 大 楼 顶部 安装 接 闪 器 ， 让 雷电 按 指定 的 途径 汇 放 入 地 ， 避 人 免 
微波 接收 天 线 等 直接 接受 雷电 流 而 受 损 。 

2) 雷电 流 的 安全 输送 。 利 用 引 下 线 引 导 强 大 的 雷电 流 安全 人 地 。 

3) 雷电 能 量 的 对 地 安全 释放 。 利 用 良好 的 接地 网 系统 尽快 地 汇 放 雷电 能 量 。 降 低 
雷电 流 的 落地 电位 差 ， 尽 可 能 降低 地 电位 反击 能 量 。 

4) 雷电 电磁 波 的 屏蔽 。 利 用 建筑 物 的 钢筋 混凝土 墙 体 、 专 用 屏蔽 时 及 各 种 设备 自 
身 的 金属 屏蔽 层 ， 衰 减 雷电 电磁 脉冲 产生 的 强大 磁场 对 设备 中 的 电子 芯片 的 电磁 危害 。 

5) 防止 雷电 波 通 过 电力 线 绕 、 通 信 线 绕 、 天 馈线 绕 及 其 他 金属 线 绕 对 设备 造成 的 
过 电压 损害 。 利 用 相应 的 电 涌 保护 器 ， 在 线路 的 和 人口 处 进行 雷电 能 量 拦截 ， 使 到 达 设 备 
的 雷电 过 电压 在 设备 可 承受 的 范围 之 内 。 

6) 防止 不 同 地 网 及 相 邻 金属 导体 之 间 产 生 电 位 差 。 采 用 共 地 、 等 电位 连接 、 地 网 
均 压 等 措施 ， 防 止 雷 击 电位 差 对 设备 的 危害 。 


14.3.5 防火 


银行 数据 中 心机 房 人 T 系统 的 正常 运行 至 关 和 重要， 系统 运行 和 核心 数据 的 存储 关系 
到 银行 乃至 社会 的 命脉 ， 必 须 对 这 些 重要 的 设备 设计 好 消防 系统 ， 防 患 于 未 然 。 

1. 火 的 种 类 

火 分 为 以 下 几 类 

A 类 一 一 固体 有 机 物质 燃烧 的 火 ; 
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B 类 一 一 液体 或 可 融化 固体 燃烧 的 火 ; 

C 类 一 一 可 燃气 体 燃烧 的 火 ; 

D 类 一 一 轻金属 燃烧 的 火 。 

2. 灭火 原理 及 介质 

常见 的 灭火 器 有 干粉 类 的 灭火 器 、 二 氧化 碳 灭 火器 、 泡 沫 型 灭火 器 、 水 型 灭火 需 
等 ， 其 灭火 原理 各 不 相同 ， 通 常 包括 ; 

(1) 冷却 法 将 灭火 剂 直接 喷 到 燃烧 物 上 ， 使 燃烧 物质 的 温度 降低 到 燃点 之 下 ， 
而 停止 燃烧 。 

(2) 隔离 法 将 火 源 处 及 其 周围 的 可 燃 物 撤 离 或 隔 开 ， 使 燃烧 因 与 可 燃 物 隔离 而 


(3) 窗 息 法 阻止 空气 流入 燃烧 区 或 用 不 燃烧 物质 冲淡 空气 ,使 燃烧 物质 得 不 到 
足够 的 氧气 而 熄灭 。 

(4) 中 断 化 学 反应 法 ”灭火 剂 参与 到 燃烧 反应 过 程 中 ， 使 燃烧 过 程 产生 的 游离 基 
消失 ， 而 形成 稳定 分 子 或 活性 的 游离 基 ， 从 而 使 燃烧 的 化 学 反应 中 断 。 

不 同类 别 的 火 源 ， 其 对 应 的 灭火 介质 有 所 区 别 ， 具 体 参见 表 14-3。 


表 14-3 不 同等 级 防火 对 应 的 灭火 介质 
等 级 类 型 灭火 介质 
A 普通 可 燃 物 水 .苏打 酸 
B 液体 气体 .C0, .苏打 酸 
C 气体 气体 C0， 
D 可 燃 金 属 干粉 
银行 数据 中 心 灭 火 系统 禁止 采用 喷 水 、 泡 沫 及 粉末 灭火 ， 比 较 适合 用 气体 灭火 系 


统 。 数 据 中 心 的 消防 系统 应 该 是 相对 独立 的 系统 ， 一 般 在 大 型 的 数据 中 心中 都 具备 集中 
监控 系统 ， 系 统 可 以 准确 预报 火警 ， 并 且 在 无 人 值守 的 情况 下 自动 启动 消防 灭火 系统 。 

3. 银行 防火 考虑 要 点 

1) 为 预防 来 自 机 房 外 部 的 火灾 危险 ， 理 想 的 情况 下 机 房 最 好 与 其 他 建筑 分 开 建 
设 , 并 在 建筑 之 间 留 有 一 定 宽度 的 防火 通道 。 如 果 机 房 与 其 他 用 途 的 房间 合用 一 幢 建 
筑 ， 根据 建筑 设计 防火 规范 及 机 房 设 计 规范 规定 ， 应 单独 设防 火 分 区 。 这 样 可 以 有 效 地 
防止 来 自 机 房 外 部 的 火灾 和 危险。 在 机 房 选 址 时 应 注意 机 房 要 远离 易 燃 易 爆 物 存放 区 域 。 

2) 机 房 应 为 独立 的 防火 分 区 ， 机 房 的 外 墙 应 采用 非 燃烧 材料 。 进 出 机 房 区 域 的 门 
应 采用 防火 门 或 防火 卷 窒 。 穿 越 防 火 墙 的 送 、 回 风 管 ， 应 设防 火 阅 。 以 上 措施 应 在 机 房 
平面 总 体 设计 及 相关 专业 设计 中 同步 进行 。 

3) 机 房 建设 采用 防火 材料 。 机 房 内 部 的 建筑 材料 应 选用 非 燃 烧 材 料 (A 级 ) 或 难 
燃烧 材料 (B 级 ) 。 

4) 设置 火灾 报警 系统 。 在 数据 中 心 设置 消防 信道 并 放置 对 计算 机 影响 较 小 的 气体 
灭火 设备 ， 同 时 建立 火灾 自动 报警 系统 。 对 于 灭火 设备 的 摆 放 位 置 和 有 效 期 进行 不 定期 
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爹 查 ， 确 保 灭 火 设 备 的 可 用 性 。 
5) 设置 气体 灭火 系统 。 
6) 合理 正确 使 用 用 电 设备 ， 制 定 完善 的 防火 制度 。 


14.3.6 防水 和 防潮 


1. 防水 

数据 中 心 的 房 顶 不 允许 有 水 管 穿 过 ， 如 果 水 管 在 地 板 穿 过 ， 则 必须 采取 相应 的 保护 
防范 措施 。 在 机 房 的 窗户 、 屋 项 、 增 壁 设置 保护 措施 以 防止 雨水 的 渗透 。 对 于 湿度 较 高 
的 地 区 或 季节 应 做 好 防潮 处 理 。 

为 防止 空 a 须 在 精密 空调 周边 安装 防水 坝 并 配 
备 漏 水 检测 系统 和 排水 装 

2. 防 静 电 

在 数据 中 心安 装 防 静 电 地 板 ， 进 入 机 房 的 作业 人 员 必 须 配 备 防 静 电 手 套 。 

(1) 静电 防护 的 基本 原则 

1) 抑制 或 减少 机 房 内 静电 和 荷 的 产生 ， 严 格 控制 静电 源 。 

2) 安 人 全、 可靠、 及 时 地 消除 机 房 内 产生 的 静电 荷 ， 避 免 静电 荷 积累 。 静 电导 电 材 
料 和 静电 耗 散 材料 用 汇 漏 法 ， 使 静电 蓓 在 一 定时 间 内 通过 一 定 的 路 径 汇 漏 到 地 。 

3) 绝缘 材料 用 以 离子 静电 消除 器 为 代表 的 中 和 法 ， 使 物体 上 积累 的 静电 荷 吸引 从 
空气 中 来 的 异性 电荷 ， 被 中 和 而 消除 。 

4) 定期 (如 一 周 ) 对 防 静 电 设 施 进行 维护 和 检验 。 

(2) 静电 电压 ”静电 电压 绝对 值 应 小 于 200V 

(3) 地 面 要 求 

1) 当 采 用 地 板 下 布线 方式 时 ， 可 铺设 防 静 电 活 动 地 板 。 

2) 当 采 用 架空 布线 方式 时 ， 应 采用 静电 耗 散 材料 作为 铺垫 材料 。 

(4) 其 他 防 静 电 措施 

1) 必要 时 装 设 离子 静电 消除 器 ， 以 消除 绝缘 材料 上 的 静电 和 降低 机 房 内 的 静电 
电压 。 

2) 垫 套 、 手 套 均 应 为 防 静 电 的 。 

3. 温 、 湿 度 控制 

在 数据 中 心 设置 温 、 湿 度 自 动 调节 设施 ， 使 机 房 温 度 、 湿 度 的 变化 在 设备 运行 所 人 允 
许 的 正常 范围 内 ， 并 监控 温 、 湿 度 自动 调节 设备 的 工作 状态 ， 在 超出 允许 范围 后 自动 发 
出 警告 给 工作 人 员 。 

活动 地 板 铺设 在 计算 机 机 房 的 地 面 找平 层 上 ， 在 活动 地 板 与 建筑 地 面 之 间 的 空间 内 
可 以 铺设 连接 设备 的 各 种 管线 。 活 动 地 板 下 空间 可 作为 静 压 送 风 风 库 ， 通 过 带 气 流 分 布 
风口 的 活动 地 板 将 机 房 空调 冷风 送 入 室内 及 发 热 设 备 机 柜 内 ， 机 房 内 能 自由 调节 气流 
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分 布 。 

活动 地 板 下 的 空间 作为 静 压 送 风 风 库 ， 送 风 温 度 约 为 14%C ， 将 与 下 层 天 花 产 生 极 
大 温差 ， 容 易 在 下 层 天 花 产生 冷凝 水 。 机 房 、 电 池 室 地 板 下 需 铺 设 橡 塑 保温 板 ， 所 有 接 
颖 应 整齐 贴 紧 ， 达 到 良好 的 保温 、 节 能 效果 ， 并 具有 足够 的 强度 来 抵御 磨损 ， 橡 塑 保温 
面 层 铺设 镀 匀 钢板。 


14.3.7 电力 供应 


银行 机 房 电 气 工程 中 的 机 房 供 配 电 系统 是 数据 中 心机 房 的 生命 线 ， 因 此 要 建 一 个 好 

J 首先 要 将 供 配 电解 决 好 。 re 增 容 、 维 护 

， 并 提供 双 倍 的 或 隔离 的 元 余 配 置 。 设 计时 应 该 考虑 到 开关 装置 、 总 线 或 断路 器 

ee Se se pn Re es od ess pa 
并 且 采 用 适当 的 规格 ， 以 便 能 够 抑制 可 能 发 生 的 瞬时 的 能 量 。 

同时 ， 为 保证 机 房 设备 正常 运转 ， 在 数据 中 心 的 供电 线路 上 应 配备 稳 压 器 和 过 电压 
防护 设备 ; 在 机 房 出 现 断 电 的 情况 下 为 保证 设备 正常 运转 ， 机 房 还 配备 了 短期 的 备用 电 
力 (发 电机 、 甘 电池 ) 来 提供 超过 1 小 时 的 供电 时 间 ， 在 机 房 的 特殊 区 域 和 重要 设备 
要 单独 提供 UPS 来 供电 。 

对 于 一 级 负荷 机 房 应 该 有 从 不 同 变电站 供给 的 双 路 供电 ， 加 上 柴油 发 电机 ， 通 过 应 
急电 源 柜 切换 后 供给 机 房 内 的 UPS 和 精密 空调 机 组 ，ATS 切换 最 好 在 机 房 配 电 系统 就 
ee 备用 发 电机 系统 是 至 关 重 要 的 一 个 因素 。 
即便 其 中 有 一 个 故障 ， 也 能 够 直接 地 向 计算 机 和 其 他 设备 提供 一 个 理想 质量 和 容量 的 电 
sw 处 理 UPS 系统 或 计算 机 设备 负荷 的 谐 波 电流 。 备 用 发 电 
机 应 该 提供 备用 电源 给 所 有 的 冷却 设备 ， 避 免 负载 设备 温度 上 升 及 停止 运行 。 如 果 发 电 
机 不 支持 这 些 系 统 ， 它 们 所 带 来 的 益处 就 显得 很 有 限 。 a tr tl 发 电机 
应 该 能 够 采用 手动 控制 。 应 该 给 每 一 个 发 电机 输出 提供 瞬时 电压 浪 涌 抑 制 装 

配 电 必须 充分 考虑 到 今后 的 发 展 余 量 。 如 一 台 服 务 器 ， 每 台 高 ee 一 
个 机 柜 若 装 6 台 就 是 6kW， 假 如 预期 机 房 在 今后 会 装 到 最 多 40 个 机 柜 那 就 是 240kW; 
UPS 一 般 可 按照 设备 容量 的 1.3 倍 计算 ， 就 是 312kVA， 再 加 上 适当 的 余 量 ， 选 用 3 台 
200kVA UPS 宛 余 供电 是 一 种 较为 理想 的 方案 。 


14.3.8 电磁 防护 


电源 线 和 通信 线路 应 隔离 铺设 ， 避 免 互相 干扰 从 而 影响 数据 中 心 的 正常 运作 。 
主机 房 内 无 线 电 干扰 场 强 ， 在 频率 为 0.15 ~ 1000MHz 时 ， 不 应 大 于 126dB。 
在 计算 机 系统 停机 条 件 下 ， 主 机 地 板 表 面 垂直 及 水 平 向 的 振动 加 速度 值 不 应 大 于 
S00mm/s? 。 
主机 房 内 磁场 干扰 环境 场 强 不 应 大 于 800A/m。 
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主机 房 地 面 及 工作 台面 的 静电 泄漏 电阻 ， 应 符合 现行 国家 标准 SJAT 10796 一 2001 
《计算 机 机 房 用 抗 静电 活动 地 板 技术 条 件 》 的 规定 。 
主机 房 内 绝缘 体 的 静电 电位 不 应 大 于 1kV。 


14.4 案例 介绍 : 物理 安全 建设 实例 


某 商 业 银 行 A 分 行 数据 中 心机 房 是 其 分 行 数据 信息 交换 的 中 心 ， 按 照 计算 机 机 房 
和 通信 机 房 的 标准 设计 ， 拟 在 其 新 的 办 公 基 地 一 、 二 层 新 建 数据 中 心机 房 ， 满足 A 分 
行 今后 五 年 的 发 展 需要 。 建 成 后 ， 该 机 房 将 成 为 A 分 行业 务 数据 储存 及 交换 的 核心 基 
地 ， 因 此 对 该 机 房 的 建设 提出 了 更 高 的 物理 安全 要 求 。 

根据 A 分 行 建设 要 求 ， 其 新 数据 中 心机 房 物理 安全 包括 以 下 内 容 : 

1) 机 房 应 具有 抵御 自然 灾害 如 地 震 、 水 灾 、 火 灾 、 鼠 虫害 等 的 能 力 ， 以 及 防火 、 
防 雷 、 防 水 、 防 静电 等 能 力 ， 定 期 检查 并 适当 测试 以 确保 上 述 功能 的 有 效 性 ， 减 少 由 于 
故障 或 失效 带 来 的 风险 。 

2) 机 房 出 入口 应 有 专人 值守 ， 进 入 机 房 的 来 访 人 员 应 经 过 申请 和 审批 流程 ， 并 限 
制 和 监控 其 活动 范围 。 重 要 区 域 应 配置 电子 门禁 系统 ， 控 制 、 鉴 别 和 记录 进入 的 人 员 。 

3) 机 房 应 划分 区 域 进行 管理 ， 区 域 和 区 域 之 间 设 置物 理 隔 离 装置 ， 在 重要 区 域 前 
设置 交付 或 安装 等 过 渡 区 域 。 

4) 设备 或 主要 部 件 应 设置 明显 的 标记 ， 利 用 光 、 电 等 技术 设置 机 房 的 防盗 报警 和 
监控 报警 系统 。 

5) 机 房 应 设置 温 、 湿 度 自 动 调节 设施 ， 使 机 房 温 、 湿 度 的 变化 在 设备 运行 所 人 允许 
的 范围 之 内 。 

6) 应 在 机 房 供 电线 路 上 设置 稳 压 器 和 过 电压 防护 设备 ， 提 供 备 用 供电 系统 和 宛 余 
电力 线路 ， 满 足 主 要 设备 在 断 电 情况 下 的 正常 运行 要 求 。 

7) 应 采用 接地 方式 防止 外 界 电磁 干扰 和 耦合 和 干扰， 电源 线 和 通信 线 缆 应 隔离 铺 
设 ， 避 免 互 相干 扰 ， 并 对 关键 设备 和 磁 介 质 实施 电磁 屏蔽 。 

为 满足 上 述 建 设 内 容 ， 该 分 行 新 数据 中 心机 房 的 物理 安全 按照 GB 50462 一 2008 
《电子 信息 系统 机 房 施工 及 验收 规范 》 定 义 的 “A 类 机 房 标准 ”要 求 和 《A 商业 银行 机 
房 建设 规范 》 等 标准 进行 设计 。 机 房 建设 工程 的 主要 内 容 如 下 。 

1. 装修 及 承重 

装修 是 整个 机 房 的 基础 ， 它 主要 起 着 功能 区 划分 及 保证 机 房 环境 的 作用 。 主 要 内 容 
包括 以 下 几 个 方面 。 

1) 隔断 处 理 : 机 房 外 围 隔 断 采用 轻 质 隔断 ， 机 房 内 部 隔断 采用 防火 玻璃 隔断 或 彩 
钢板 隔断 。 

2) 墙 面 处 理 : 机 房 四 周 采 用 彩 钢 板 装 修 及 乳胶 漆 面 ， 柴 油 发 电机 房 做 隔音 。 

3) 天 面 处 理 : 所 有 机 房 天 面 都 刷 防 侍 防潮 漆 ， 有 设备 区 域 还 要 贴 保温 棉 ， 其 他 区 
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域 安装 铝 扣 板 天 花 。 

4) 地 面 处 理 : 所 有 机 房 地 面 都 刷 防 侍 防潮 漆 ， 空 调 区 、 配 电 区 及 信息 技术 设备 区 域 需 
贴 保温 棉 ， 并 染 高 500mm 的 防 静电 地 板 ， 其 中 维修 间 、 气 瓶 间 、 油 机 间 地 面 贴 地 砖 。 

5) 门 体 处 理 : 机 房 内 所 有 门 体 都 采用 防火 门 ， 防 火 门 均 应 采用 消防 局 认可 的 合格 产品 。 

6) 承重 支架 : 空调 间 、UPS 间 及 电池 间 所 有 设备 均 不 能 直接 落地 安装 ， 都 要 安装 
有 承重 支架 。 

2. 机 柜 及 PDU 

机 柜 承 载 着 机 房 的 核心 设备 ， 其 主要 包括 以 下 几 个 方面 。 

1) 服务 器 机 柜 : 配置 39 套 服务 器 机 柜 (600mm x1070mm x2070mm) ， 网 孔 门 。 

2) 网 络 机 柜 : 配置 18 + 10 套 网 络 机 柜 (800mm x960mm x2070mm) ， 网 孔 门 。 

3) 接 入 机 柜 : 配置 10 套 电信 机 柜 (600mm x 600mm x2070mm) ， 网 孔 门 。 

4) 机 柜 PDU: 每 个 机 柜 配 2 个 PDU。 

5) 机 柜 顶 部 走 线 系统 : 每 个 机 柜 都 配置 强 弱 电线 槽 模块 。 

3. 供 配 电 系统 

需求 测算 : 已 知 目前 机 房 信息 技术 负载 约 40kW， 考 虑 到 未 来 扩容 需要 ， 新 建 机 房 
按 满载 80kW 规划 设计 。 
供 配 电 系 统 是 机 房 安全 高 可 用 性 的 基础 和 保障 机 房 安全 运行 的 关键 。 机 房 工 程 供 配 
电 系 统 采用 三 相 五 线 制 一 类 供电 ， 采 用 2N 模式 的 供电 接线 方式 ， 分别 从 大 楼 负 一 楼 的 
不 同市 电 切 换 柜 引 2 路 市 电 、1 路 油 机 ， 通 过 强 电 井 引入 UPS 配 电 间 ， 再 经 过 ATS 切 


换 给 机 房 的 设备 供电 。 

根据 前 面 的 电力 测算 : 要 求 大 楼 提供 双 路 市 电 ， 容 量 为 630A， 配 置 的 柴油 发 电机 
组 常用 功率 约 460kW。 

设计 内 容 主 要 包括 : 


1) 油 机 内 容 ， 配置 一 套 某 油 发 电机 组 ， 安 装 在 负 一 楼 ， 功 率 约 460kW。 

2) 配 电 柜 : 在 五 楼 机 房 配置 ATS 双 电 源 切换 、UPS 输入 配 电 柜 、UPS 输出 配 电 柜 、 
市 电 配 电 箱 等 。 

3) 强 电 电缆 : 内 容 包括 机 房 的 主 输入 电缆 及 机 房 内 部 的 强 电 电 缆 。 

4) 防 雷 接地 : 配置 电源 防 雷 器 系统 及 机 房 内 的 等 电位 连接 。 

5) 照明 系统 : 机 房 内 配置 节能 照明 系统 及 应 急 照 明 系 统 。 

6) 机 架 式 STS 电源 : 共 配 置 6 个 STS 电源 模块 。 

4. UPS 供电 系统 

UPS 电源 设备 是 机 房 供 配 电 系统 中 的 核心 设备 ， 同 时 它 也 是 关系 到 整个 数据 中 心 
PUE 值 的 关键 性 指标 。UPS 电源 系统 包括 : 

1) 核心 机 房 : UPS 供电 模式 采用 2 (1 +1) 系统 ， 配 置 4 台 UPS 主机 ， 单 台 功 率 
为 120kKVA。 

2) 楼 层 其 他 业务 : 利用 现 有 的 2 台 80kVA 的 UPS 主机， 通过 (1 +1) 并 机 宛 余 
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式 对 营业 部 、 保 卫 部 的 监控 室 、 楼 层 机 房 总 体 供 电 。 

3) 华南 处 理 中心 : 配置 1 台 30kVA 的 UPS 主机 ， 主 要 是 负责 华南 处 理 中 心 的 供电 。 

4) 后 备 电 池 : 每 台 UPS 主机 按 后 备 1 小 时 时 间 来 配置 电池 组 。 

5. 精密 空调 系统 

精密 空调 与 气流 组 织 是 机 房 运行 环境 的 保障 ， 是 为 数据 中 心机 房 提供 合适 的 温度 、 
湿度 和 洁净 度 的 决定 性 条 件 。 
通过 计算 得 出 数据 分 析 机 房 满 载运 行 时 ， 需 最 大 的 制冷 量 为 130kW ， 机 房 共 规 
划 5 台风 冷 型 精密 空调 ， 采 用 (3 +2) 宛 余 制冷 模式 ， 给 机 房 的 信息 技术 设备 及 电源 
设备 提供 冷 量 ， 其 中 利用 现 有 的 3 台 精 密 空调 ， 单 台 制 冷 量 为 S7KW， 新 增 2 台 精 密 空 
调 , 单 台 制冷 功率 为 42kW。 

精密 空调 系统 包括 冷气 流产 生 单元 、 气 流 配 送 单 元 和 气流 回收 单元 。 

1) 精密 空调 设备 (冷气 流产 生 单 元 ) : 共 4 台 精 密 空调 。 

2) 出 风 地 板 ( 冷 气流 配送 单元 ) : 采用 地 板 下 送 风 上 回 风 方式 。 

3) 气流 遏制 子 系统 (热气 流 回收 单元 ) : 通过 自然 回 风 方式 。 

4) 配置 完善 的 管道 系统 及 给 排水 系统 。 

另外 操作 间 及 休息 间 配 置 舒 适 空调 (2 台 2P 的 天 花 机 及 1 台 1P 的 壁挂 机 ) 。 

6. 新 风 系 统 

新 风 系 统 是 降低 数据 中 心机 房 空调 系统 能 耗 的 一 个 重要 的 辅助 措施 ， 也 是 保证 机 房 
正 压 的 唯一 手段 。 新 风 系 统 为 机 房 工 作 人 员 提 供 必 要 的 新 鲜 空 气 ， 是 降低 机 房 能 源 消 耗 
的 重要 手段 。 主 要 包括 

1) 新 风机 : 机 房 配 置 一 套 新 风机 系统 。 

2) 排 风 机 : 机 房 配 置 一 套 排 风 机 系统 。 

3) 管道 : 配置 完善 的 管道 系统 。 

7. 综合 布线 系统 

本 项 目 综合 布线 系统 工程 采用 6 类 布线 产品 ， 能 具备 语言 、 数 据 、 图 像 、 监 控 系 
统 中 信和 号 传输 的 要 求 ， 类 型 为 综合 型 ， 为 开放 式 结构 ， 容 易 扩 展 、 变 更 ， 包 括 网 络 布 
线 、 控 制 及 其 他 可 能 应 用 的 智能 化 系统 。 

1) 主要 分 布 区 域 (MDA) : 网 络 设 备 区 ， 用 于 安装 网 络 设备 、 核 心 交 换 机 、 外 联 
设备 等 ， 网 络 结构 采用 一 主 一 备 ， 是 数据 中 心 结构 电缆 系统 分 布 区 域 的 中 心 点 。 

2) 水 平分 布 区 域 (HAD) : 网 络 列 头 柜 区 ， 主 要 用 于 由 每 列 服务 器 机 柜 引 来 的 线 
缆 及 核心 配 线 柜 引 来 的 骨干 缆 成 端 配 线 架 ， 同 时 安装 诸如 LAN 和 位 于 设备 分 布 区 域 末 
端 设备 的 KVM 等 设备 。 

3) 设备 分 布 区 域 (EDA) : 服务 器 机 柜 用 于 安装 服务 器 、 存 储 设备 等 ， 并 成 端 由 
列 头 柜 引 来 网 络 线 。 

4) 机 房 布 线 采用 6 类 非 屏蔽 布线 系统 和 万 兆 多 模 光 纤 布 线 系统 。 

5) 综合 布线 系统 采用 机 柜上 走 线 方式 。 
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8. 综合 监控 系统 

机 房 综 合 监控 系统 是 机 房 智慧 化 管理 的 一 个 重要 手段 。 机 房 控制 应 具有 高 度 自 动 
化 ， 它 要 求 以 最 少 的 维护 人 员 ， 最 优化 的 运营 维护 手段 ， 来 实时 监控 每 一 个 机 房 中 设备 
所 处 的 物理 环境 。 同 时 ， 集 成 安防 系统 的 各 个 子 系统 ， 使 管理 高 度 集中 化 、 智 能 化 ， 优 
化 资源 分 配 。 机 房 综合 监控 系统 主要 包含 以 下 几 个 方面 。 

1) 设备 监控 子 系统 ( 配 电 柜 、UPS 主机 、 电 池 组 ) 。 

2) 环境 监控 子 系统 ( 温 湿度 、 漏 水 、 烟 感 ) 。 

3) 消防 联动 与 控制 子 系统 。 

4) 资产 管理 子 系统 。 

5) 能 源 监测 与 管理 子 系统 。 

6) 故障 报警 系统 ( 声 光 、 短 信 、 邮 件 、IE)。 

9. KVM 设备 管理 系统 

KVM 设备 管理 系统 是 现代 计算 机 机 房 的 集中 控制 管理 机 房 内 计算 机 设备 的 一 个 科 
学 先进 的 工具 。 通 过 高 质量 的 数字 式 的 KVM (键盘 、 鼠 标 和 显示 器 ) 切换 器 及 相关 的 
连接 产品 ， 可 实现 在 本 地 及 远程 可 远 距 离 集 中 控制 管理 操作 机 房 内 的 各 小 型 机 系统 、 
PC 服务 器 及 网 络 设备 。 它 包括 以 下 几 个 方面 。 

1) KVM 切换 主机 ， 共 配置 3 台 32 口 的 数字 KVM 主机 。 

2) 模块 : 每 个 KVM 配置 32 个 转换 模块 ， 共 96 个 。 

3) 网 络 布线 : KVM 布线 采用 超 5 类 布线 方式 。 

10. 气体 消防 系统 

气体 消防 系统 是 整体 机 房 安全 运行 的 盾牌 。 从 对 火警 的 探测 系统 来 看 ， 它 具有 温 
感 、 烟 感 探测 器 ， 红 外 探头 ;对 于 灭火 系统 来 说 ， 基 本 上 大 多 数 机 房 都 采用 的 是 气体 灭 
火 系 统 。 这 就 要 求 在 整体 机 房 的 设计 和 施工 中 ， 必 须 规划 、 建 设 钢 瓶 间 、 消 防 控制 间 和 
一 些 管道 (也 可 使 用 无 管 网 系统 ) ， 从 而 达到 全 方位 报警 、 分 区 灭火 ， 最 大 限度 地 提高 
对 火灾 的 防范 能 力 。 其 内 容 包括 : 

仿 气体 灭火 装置 。 

<> 消防 控制 子 系统 。 

<> 消防 管道 子 系统 。 

<> 消防 排 烟 子 系统 。 

<> 消防 联动 子 系统 。 

11. 门禁 系统 

为 了 保证 对 机 房 区 域 进行 有 效 的 人 员 管 理 ， 在 机 房 出 入 口 及 各 功能 区 域 入 口 均 设置 
门禁 系统 。 各 功能 区 域 和 人 口 和 机 房 主 人 口 人 员 的 管理 权限 逐 级 递减 ， 满 足 重 要 设备 间 与 
普通 操作 间 分 区 管理 的 目的 ， 避 免 了 由 于 人 员 管 理 模糊 所 产生 的 隐患 。 门 禁 系 统 设置 两 
套 ， 分 别 安装 在 一 、 二 层 机 房 ， 各 系统 自 带 有 通信 模块 ， 可 通过 网 线 并 人 大 楼 以 太 网 
(Ethernet) ， 方 便 远 程 用 户 的 检测 。 
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第 15 草 
网 络 安全 


网 络 安全 是 指 网 络 系统 的 人 硬件、 软件 及 其 系统 中 的 数据 受到 保护 ， 不 因 偶然 的 或 者 
恶意 的 原因 而 遭受 到 破坏 、 更 改 、 汇 露 ， 系 统 连续 可 靠 正常 地 运行 ， 网 络 服务 不 中 断 ， 
从 而 确保 网 络 数据 和 通信 的 可 用 性 、 完 整 性 和 保密 性 。 网 络 安全 保护 的 对 象 是 网 络 系统 
的 硬件 、 软 件 。 对 于 银行 信息 系统 来 说 ， 网 络 安全 保护 对 信息 系统 的 访问 、 读 写 等 操作 
进行 保护 和 控制 ， 数 据 传 输 受 到 保护 ， 避 免 出 现 病毒 、 非 法 存 取 、 拒 绝 服务 和 网 络 资源 
非法 占用 和 非法 控制 等 威胁 ， 制 止 和 防御 网 络 黑客 的 攻击 。 由 此 可 见 ， 网 络 安全 技术 涉 
及 面 非常 广 。 本 章 主要 对 网 络 安全 的 常见 技术 进行 了 介绍 ， 包 括 防火 墙 技术 、 入 侵 检 
测 / 保 护 技 术 、VPN 技术 、 无 线 安全 技术 及 网 络 设备 安全 防护 等 内 容 。 


15.1 典型 的 银行 网 络 安全 设计 示例 


典型 的 银行 网 络 安全 设计 拓扑 图 如 图 15-1 所 示 。 在 建设 规划 时 采用 分 层 、 分 区 的 
规划 思路 ,通过 部 署 防火 墙 、 IDS、IPS、VPN、 人 负载 均衡 、DDoS 防护 等 安全 设备 来 保 
障 网 银 系统 的 安全 。 后 面 将 对 防火 墙 、IDS、IPS、VPN 等 安全 设备 做 详细 的 介绍 。 


15.2 防火 墙 技 术 


15.2.1 防火 墙 概述 


防火 墙 这 个 词 来 源 于 建筑 词汇 ， 用 于 限制 (潜在 的 ) 火灾 在 建筑 内 部 的 蔓延 ， 后 
被 引申 至 信息 安全 领域 中 访问 控制 、 边 界 整合 类 的 产品 ， 防 火 墙 是 一 种 访问 控制 技术 ， 
在 某 个 机 构 的 网 络 和 不 安全 的 网 络 之 间 设 置 障碍 ， 阻 止 对 信息 资源 的 非法 访问 。 
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图 15-1 典型 的 银行 


_DC-YWHL-FW3-1000-02 


内 网 


和 网络 安全 设计 拓扑 医 


晋城 银行 网 络 核心 区 域 


Internet 的 发 展 给 政府 结构 、 企 事业 单位 带 来 了 革命 性 的 改革 和 开放 。 他 们 正和 努力 


通过 利用 Internet 来 提高 办 事 效率 和 市 场 反 应 速度 ， 以 便 更 具 兖 
业 可 以 从 异地 取 回 重要 数据 ， 同 时 又 要 面 对 Internet 开放 带 来 的 数据 安全 的 新 挑战 和 新 
危险 ， 即 客户 、 销 售 商 、 移 动用 户 、 异 地 员工 和 内 部 员工 的 安全 访问 ; 以 及 保护 企业 的 


机 密 信息 不 受 黑 客 和 工业 间谍 的 入 侵 。 因 此 企业 必须 加 筑 安全 的 “战壕 ”， 而 这 人 


壤 ” 就 是 防火 墙 。 


争 力 。 


通过 Internet， 


企 


“ 战 


防火 墙 技术 是 建立 在 现代 通信 网 络 技术 和 信息 安全 技术 基础 上 的 应 用 


性 安全 技术 ， 越 来 越 多 地 应 用 于 专用 网 络 与 公用 网 络 的 互联 环境 之 中 ,尤其 以 接 人 In- 


ternet 网 络 为 最 甚 o 


15.2.2 防火 墙 的 作用 


防火 墙 的 作用 通常 包括 以 下 几 个 方面 。 
1. 防火 墙 是 网 络 安全 的 屏障 
一 个 防火 墙 〈 作 为 阻塞 点 、 控 制 点 ) 


能 极 大 地 提高 内 部 网 络 的 安全 性 


， 并 通 


过 过 
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滤 不 安全 的 服务 而 降低 风险 。 同 时 ， 防 火 墙 可 以 保护 网 络 免 受 基于 路 由 的 攻击 ， 如 IP 
选项 中 的 源 路 由 攻击 和 ICMP 重 定向 中 的 重 定向 路 径 。 防 火 墙 可 以 拒绝 所 有 以 上 类 型 攻 
击 的 报 文 并 通知 防火 墙 管理 员 。 

2. 防火 墙 可 以 强化 网 络 安 全 策略 
通过 以 防火 墙 为 中 心 的 安全 方案 配置 ， 能 将 所 有 安全 软件 〈 如 口令 、 加 密 、 身 份 
认证 、 审 计 等 ) 配置 在 防火 墙 上 。 与 将 网 络 安全 问题 分 散 到 各 个 主机 上 相 比 ， 防 火 墙 
的 集中 安全 管理 更 经 济 。 如 在 网 络 访问 时 ， 一 次 一 密 口 令 系统 和 其 他 的 吴 份 认证 系统 完 
全 可 以 不 必 分 散在 各 个 主机 上 ， 而 可 以 集中 在 防火 墙 一 身上 。 

3. 对 网 络 存 取 和 访问 进行 监控 审计 

如 果 所 有 的 访问 都 经 过 防火 墙 ， 那 么 ， 防 火 墙 就 能 记录 下 这 些 访问 并 做 出 日 志 记 
录 ， 同 时 也 能 提供 网 络 使 用 情况 的 统计 数据 。 当 发 生 可 疑 动作 时 ,防火墙 能 进行 适当 的 
报警 ， 并 提供 网 络 是 否 受 到 监测 和 攻击 的 详细 信息 。 

4. 防止 内 部 信息 的 外 泄 
通过 利用 防火 墙 对 内 部 网 络 的 划分 ， 可 实现 内 部 网 重点 网 段 的 隔离 ， 从 而 限制 了 局 
部 重点 或 敏感 网 络 安全 问题 对 全 局 网 络 造成 的 影响 。 


15.2.3 防火 墙 的 功能 


防火 墙 作为 不 同安 全 域 间 的 阻塞 点 和 控制 点 ， 极 大 地 提高 了 内 部 网 络 的 安全 性 ， 
通过 过 滤 不 安全 的 服务 而 降低 风险 。 从 其 发 生发 展 的 情况 来 看 ， 防 火 墙 的 功能 
成 熟 。 

1. 路 由 功能 

外 网 口 、 内 网 口 、DMZ 区 不 在 同一 网 段 时 ,防火墙 启用 路 由 模式 ， 此 时 的 防火 墙 
相当 于 一 台 路 由 器 在 使 用 。 

2. 地 址 转换 功能 

网 络 地 址 转换 ( Network Address Translation，NAT) 被 广泛 应 用 于 各 种 类 型 的 Inter- 
net 接 入 方式 和 网 络 中 。 原 因 很 简单 ，NAT 不 仪 完美 地 解决 了 1P 地 址 不 足 的 问题 ， 而 且 
还 能 够 有 效 地 避免 来 自 网 络 外 部 的 攻击 ， 隐 藏 并 保护 网 络 内 部 的 计算 机 。 

3. 控制 访问 功能 

防火 墙 以 其 阻塞 点 的 身份 实现 监视 和 控制 ， 通过 服务 控制 、 方 向 控制 和 用 户 控 制 实 
现 访 问 控制 的 功能 ， 如 图 15-2 所 示 。 

4. 负载 均衡 功能 

负载 均衡 是 一 种 廉价 有 效 透明 的 方法 ， 以 扩展 现 有 网 络 设备 和 服务 器 的 带宽 、 增 加 
吞吐 量 、 加 强 网 络 数据 处理 能 力 、 提 高 网 络 的 灵活 性 和 可 用 性 的 技术 就 是 负载 均衡 
(Load Balance) 。 
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Access list 100 permit tcp host 192.168.1.3 any eq 80 
Access list 100 permit tcp host 192.168.1.3 any eq 21 


图 15-2 防火 墙 控制 访问 功能 示例 


5. VPN 功能 

虚拟 专用 网 (VPN) 被 定义 为 通过 一 个 公用 网 络 (通常 是 Internet) 建立 一 个 临时 
的 、 安 全 的 连接 ， 是 一 条 穿 过 混乱 的 公用 网 络 的 安全 、 稳 定 的 隧道 ,保证 数据 的 安全 
传输 。 

6，QoS 功能 

QoS 的 英文 全 称 为 “Quality of Service”， 中 文 名 为 “服务 质量 ”。QoS 是 网 络 的 一 
种 安全 机 制 , 是 在 带宽 分 配 、 网 络 阻塞 等 问题 中 常用 的 一 种 技术 。 

在 正常 情况 下 ， 如 果 网 络 只 用 于 特定 的 无 时 间 限 制 的 应 用 系统 ， 并 不 需要 QoS， 比 
如 WEB 应 用 ,或 E-Mail 设置 等 。 但 是 对 关键 应 用 和 多 媒体 应 用 就 十 分 必要 。 当 网 络 过 
载 或 拥塞 时 ，QoS 能 确保 重要 业务 量 不 受 延迟 或 丢弃 ， 同 时 保证 网 络 的 高 效 运行 。 


15.2.4 防火墙 的 分 类 


根据 不 同 的 分 类 方式 ， 防 火 墙 有 不 同 的 类 别 。 

从 防火 墙 的 存在 形式 来 分 的 话 ， 可 以 分 为 软件 防火 墙 和 硬件 防火 墙 。 

从 防火 墙 部 署 的 位 置 来 看 ， 可 以 分 为 个 人 防火 墙 和 网 络 防火 墙 。 本 书 讨论 的 是 网 络 
防火 墙 。 

从 架构 实现 方式 来 看 ， 硬 件 防 火 墙 一 般 是 基于 三 种 平台 去 实现 : X86、NP 架构 、 
ASIC 架构 。 

从 技术 原理 上 讲 ， 防 火 墙 总 体 来 讲 可 分 为 四 大 类 : 简单 包 过 滤 型 、 状 态 检测 型 、 应 
用 代理 型 、 内 核 检 测 型 。 

以 下 将 从 技术 原理 角度 ， 对 不 同类 型 的 防火 墙 进行 更 深入 地 介绍 。 

1. 简单 包 过 滤 型 

包 过 滤 型 防火 墙 工作 在 0SI 模型 的 网 络 层 和 传输 层 ， 它 根据 数据 包 包 头 的 源 地 址 、 
目的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 是 否 允 许 通 过 。 只 有 满足 过 滤 条 件 的 数据 包 才 
被 转发 到 相应 的 目的 地 ， 其 余数 据 包 则 被 从 数据 流 中 丢弃 。 

数据 包 过 滤 是 一 个 网 络 安全 保护 机 制 ， 它 用 来 控制 流出 和 流入 网 络 的 数据 。 简 单 地 
说 ,简单 包 过 滤 防 火 墙 是 根据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 ， 以 便 确定 其 是 否 与 菜 
一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 。 报 头 信息 中 包括 IP 
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源 地 址 、IP 目标 地 址 、 传 输 协 议 (TCP、UDP、ICMP 等 ) 、TCPZUDP 目标 端口 、ICMP 
消息 类 型 等 。 

2. 状态 检测 型 

状态 检测 〈Stateful-inspection) 防火 墙根 据 其 协议 及 连接 状态 对 穿 过 防火 墙 的 数据 
进行 检测 ， 可 以 追踪 和 控制 会 放流， 支持 多 种 应 用 ， 包 括 Internet 应 用 、 数 据 库 应 用 、 
多 媒体 应 用 等 。 

传统 的 包 过 滤 防 火 墙 只 是 通过 检测 IP 包头 的 相关 信息 来 决定 数据 流 的 通过 还 是 拒 
绝 ， 而 状态 检测 技术 采用 的 是 一 种 基于 连接 的 状态 检测 机 制 ， 将 属于 同一 连接 的 所 有 包 
作为 一 个 整体 的 数据 流 看 待 ， 构 成 连接 状态 表 ， 通 过 规则 表 与 状态 表 的 共同 配合 ， 对 表 
中 的 各 个 连接 状态 因素 加 以 识别 。 这 里 动态 连接 状态 表 中 的 记录 可 以 是 以 前 的 通信 信 
息 ， 也 可 以 是 其 他 相关 应 用 程序 的 信息 ， 因 此 ， 与 传统 包 过 滤 防 火 墙 的 静态 过 滤 规 则 表 
相 比 ， 它 具有 更 好 的 灵活 性 和 安全 性 。 先 进 的 状态 检测 防火 墙 读 取 、 分 析 和 利用 了 全 面 
的 网 络 通信 信息 和 状态 。 

3. 应 用 代理 型 

代理 防火 墙 能 够 比 其 他 类 型 的 防火 墙 提供 更 多 的 安全 性 ， 但是， 这 是 以 牺牲 速度 和 
功能 为 代价 的 ， 因 为 代理 防火 墙 能 够 限制 你 的 网 络 支持 什么 应 用 程序 。 那 么 ， 为 什么 代 
理 防火 墙 更 安全 呢 ?” 代 理 防火 墙 与 稳定 的 防火 墙 不 同 ,稳定 的 防火 墙 允许 或 者 封锁 网 络 
数据 包 进 出 受 保护 的 网 络 ， 而 通信 流 不 经 过 代理 。 如 果 使 用 代理 防火 墙 ， 计算 机 要 建立 
一 个 通 向 代理 的 连接 ， 这 个 代理 充当 一 个 中 介 并 且 代 表 这 台 计 算 机 的 请 求 启动 一 个 新 的 
网 络 链接 。 这 就 阻止 了 防火 墙 两 端的 系统 直接 进行 连接 ， 使 攻击 者 很 难 发 现 这 个 网 络 在 
什么 地 方 ， 因 为 它们 永远 不 接收 它们 的 目标 系统 直接 创建 的 数据 包 。 

代理 防火 墙 也 对 它们 支持 的 协议 提供 深入 的 和 熟悉 协议 的 安全 分 析 。 这 使 它们 能 
比 那 些 纯粹 以 数据 包 包 头 信息 为 重点 的 产品 做 出 更 好 的 安全 决策 。 例 如 ， 一 个 专门 为 文 
持 FTP 协议 而 编写 的 代理 防火 墙 能 够 监视 在 命令 通道 上 发 出 的 实际 的 FTP 命令， 并 且 
阻止 任何 禁止 的 行为 。 代 理 防 火 墙 允 许 实施 熟悉 协议 的 记录 。 因 为 服务 器 是 由 代理 保护 
的 ， 这 种 记录 能 够 让 人 们 很 容易 发 现 攻击 方法 并 且 为 现 有 的 记录 创建 一 个 备份 。 

应 用 代理 防火 墙 是 工作 在 应 用 层 ， 其 特点 是 完全 “阻隔 ”了 网 络 通信 流 ， 通 过 对 
每 种 应 用 服务 编制 专门 的 代理 程序 ， 实 现 监视 和 控制 应 用 层 通信 流 的 作用 。 

4. 内 核 检 测 型 

内 核 检 测 技 术 ， 即 基于 0S 内 核 的 会 话 检测 技术 ， 在 0S 内 核实 现 对 应 用 层 访问 控 
制 。 它 相对 于 包 过 滤 和 应 用 代理 防火 墙 来 讲 ， 不 但 更 加 成 功 地 实现 了 对 应 用 层 的 细 粒 度 
控制 ， 同时， 更 有 效 保证 了 防火 墙 的 性 能 。 

内 核 检 测 防火 墙 工作 原理 如 图 15-3 所 示 。 


15.2.5 防火 墙 应 用 场景 分 析 


A 股份 制 商业 银行 防火 墙 部 署 如 图 15-1 所 示 ， 在 不 同 的 功能 区 域 分 别 部 署 防火 墙 
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到 15-3 内核 检测 防火 墙 


进行 单独 防护 ， 共 有 11 个 位 置 部 署 了 防火 墙 ， 分 别 为 Al ~ Al1。 

下 面 对 不 同 的 部 署 位 置 进行 单独 分 析 ; 

Al 在 移动 办 公 区 部 署 防火 墙 实现 连接 互联 网 接 人 同时 与 内 网 各 个 区 域 实现 安全 
隔离 。 

A2 在 开发 测试 区 出 口 部 署 防火 墙 。 

A3 ~ A4 在 Internet 网 银 区 域 ， 采 用 双 机 部 署 模式 ， 采 用 双 宛 余 链 路 互联 ， 提 高 业 
务 系统 的 可 用 性 。 

A5 ~ A6 在 应 用 APP + DB 区 域 ， 实 现 网 上 银行 业务 交易 处 理 ， 提 供 APP 与 DB 之 间 
的 互 访 ， 并 于 内 网 前 置 机 进行 通信 。 

A7 ~ A8 在 内 外 网 之 间 采 用 双 机 部 署 模式 ， 实 现 双 宛 余 链 路 互联 ， 实 现 内 外 网 安全 
隔离 。 

A9 在 第 三 方 支付 系统 的 出 口 部 署 防火 墙 ， 实 现 与 其 他 业务 系统 的 隔离 和 安全 防护 。 


15.3 网络 威胁 检测 与 防护 技术 


15. 3.1 IDS 概念 


入 侵 是 指 在 非法 或 者 未 经 授权 的 情况 下 ， 试 图 存 取 或 处 理 系 统 或 网 络 中 的 信息 ,或 
破坏 系统 或 网 络 的 正常 运行 ， 致 使 系统 或 网 络 的 可 用 性 、 机 密 性 和 完整 性 受到 破坏 的 故 
意 行为 。 入 侵 检测 ， 顾 名 思 义 ， 是 对 入 侵 行为 的 发 觉 。 入 侵 检测 技术 是 为 保证 计算 机 系 
统 的 安全 而 设计 与 配置 的 一 种 能 够 及 时 发 现 并 报告 系统 中 未 授权 或 异常 现象 的 技术 ,是 
一 种 用 于 检测 计算 机 网 络 中 违反 安全 策略 行为 的 技术 ， 是 通过 数据 的 采集 和 分 析 实 现 对 
入 侵 行为 检测 的 技术 。 
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进行 人 侵 检 测 的 软件 与 硬件 的 组 合 便 是 入侵 检测 系统 〈 简 称 IDS) 。 入 侵 检测 是 防 
火 墙 的 合理 补充 ， 帮 助 系统 对 付 网 络 攻击 ， 扩 展 了 系统 管理 员 的 安全 管理 能 力 〈 包 括 
安全 审计 、 监 视 、 进 攻 识 别 和 响应 ) ， 提 高 了 信息 安全 基础 结构 的 完整 性 。 入 侵 检测 被 
认为 是 防火 墙 之 后 的 第 二 道 安全 闸门 ， 在 不 影响 网 络 性 能 的 情况 下 能 对 网 络 进 行 监测 ， 
从 而 提供 对 内 部 攻击 、 外 部 攻击 和 误 操 作 的 实时 保护 。 


15.3.2 入 侵 检 测 系 统 的 功能 和 作用 


由 于 防火 墙 处 于 网 关 的 位 置 ， 不 可 能 对 进出 攻击 做 太 多 的 判断 ， 否 则 会 严重 影响 网 
络 性 能 ， 如 果 把 防火 墙 比 作 大 门 警卫 的 话 ， 入 侵 检测 系统 就 是 监控 摄像 机 。 入 侵 检测 系 
统 通过 监听 的 方式 获取 网 络 的 运行 状态 数据 ,判断 其 中 是 否 含有 攻击 的 企图 ， 并 通过 各 
种 手段 向 管理 员 报 警 ， 不 但 可 以 发 现 外 部 的 攻击 ， 也 可 以 发 现 内 部 的 恶意 行为 。 

当 IDS 发 现 一 个 可 疑 的 恶意 威胁 (事件) 后 ， 它 会 记录 该 事件 并 采取 适当 的 行动 。 
该 行动 可 能 是 继续 登录 、 发 送 报警 、 重 定向 攻击 。 如 果 该 威胁 是 高 风险 的 ，IDS 将 提醒 
相关 人 员 。 报 警 可 以 通过 E-Mail、SNMP 、 短 信 发 送 到 移动 设备 或 者 控制 台 。IDS 支持 
深度 安全 原理 ， 并 可 用 于 检测 多 种 威胁 事件 。 

人 入侵 检 测 系统 的 功能 很 多 ， 比 如 监测 并 分 析 用 户 和 系统 的 活动 ， 检查 系统 配置 和 漏 
洞 ; 评估 系统 关键 资源 和 数据 文件 的 完整 性 ; 识别 已 知 的 攻击 行为 ; 统计 分 析 异 常 行 
为 ; 对 操作 系统 进行 日 志 管 理 ， 并 识别 违反 安全 策略 的 用 户 活动 ; 针对 已 发 现 的 攻击 行 
为 做 出 适当 的 反应 ， 如 告警 、 终 止 进程 等 。 具 体 来 看 ， 入 侵 检 测 系统 的 功能 包括 但 不 限 
于 以 下 内 容 : 

1) 密码 破解 。 

2) 协议 攻击 。 

3) 缓冲 区 溢出 。 

4) 模拟 尝试 。 

5) 安装 工具 包 。 

6) 恶意 命令 。 

7) 软件 漏洞 攻击 。 

8) 非法 数据 操作 。 

9) 未 经 授权 的 文件 访问 。 

10) 恶意 代码 ， 如 病毒 、 木 马 和 蠕虫 。 

11) 拒绝 服务 攻击 。 


15.3.3 入侵 检 测 系 统 的 分 类 


入 侵 检测 系统 可 以 根据 多 种 方式 分 类 ， 本 节 介 绍 两 种 典型 的 分 类 方式 ， 即 按照 检测 
原理 和 数据 来 源 进 行 分 类 的 方式 。 
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1. 根据 检测 原理 进行 分 类 

(1) 异常 检测 ”异常 入 侵 检测 是 根据 系统 或 用 户 的 非 正 常 行为 或 者 对 于 计算 机 资源 
的 非 正常 使 用 而 检测 出 入 侵 行 为 的 检测 技术 。 在 异常 检测 中 ， 观 察 到 的 不 是 已 知 的 入 侵 
行为 ， 而 是 系统 运行 过 程 中 的 异常 现象 。 异 常 检测 需要 建立 一 个 系统 的 正常 活动 状态 或 
者 用 户 正 常 行为 模式 的 描述 模型 ， 操 作 时 将 用 户 当 前 行为 模式 或 系统 的 当前 状态 与 该 正 
常 模型 进行 比较 ， 如 果 当 前 值 超出 了 预 设 的 阀 值 ， 则 认为 存在 着 攻击 行为 。 

(2) 误 用 检测 ” 误 用 入 侵 检 测 系 统 根 据 已 知 入 侵 攻 击 的 信息 (知识 、 模 式 等 ) 来 
检测 系统 中 的 人 侵 和 攻击 。 误 用 检测 需要 对 现 有 的 各 种 攻击 手段 进行 分 析 ， 建 立 能 够 代 
表 该 攻击 行为 的 特征 集合 ， 操 作 时 将 当前 数据 进行 处 理 后 与 这 些 特征 集合 进行 匹配 ， 如 
果 匹 配 成 功 则 说 明 有 攻击 发 生 。 

(3) 混合 检测 ”混合 检测 指 在 考虑 分 析 系 统 正常 行为 的 同时 ， 还 观察 可 以 的 入 侵 行 
为 ， 之 后 再 做 出 检测 结构 判断 ， 所 以 检测 结果 能 更 全 面 、 准 确 和 可 靠 。 它 通常 根据 系统 
的 正常 数据 流 背 景 来 检测 入 侵 行为 ， 有 人 称 其 为 “启发 式 特 征 检测 ”。 

2. 根据 数据 来 源 进行 分 类 

(1) 基于 主机 的 入 侵 检 测 系 统 (Host-based Intrusion Detection System ，HIDS) 基 
于 主机 的 入 侵 检 测 系 统 通过 监测 主机 的 审计 记录 、 系 统 日 志 、 应 用 日 志 及 其 他 辅助 数 
据 ， 来 查找 和 发 现 攻 击 行为 的 痕迹 。 它 可 以 部 署 在 各 种 计算 机 主机 上 部 署 。 

(2) 基于 网 络 的 入 侵 检 测 系 统 (Network-based Intrusion Detection System ，NIDS ) 
基于 网 络 的 入 侵 检测 系统 使 用 网 络 数据 包 作 为 数据 源 ， 通 常 实时 监视 并 分 析 通 过 网 络 的 
所 有 数据 ， 从 中 获取 有 用 的 信息 ， 青 与 已 知 攻击 特征 相 匹 配 或 与 正常 网 络 行为 原型 相 比 
较 来 识别 攻击 事件 。 

(3) 混合 式 的 入 侵 检 测 ” 混 合式 人 侵 检测 系统 将 基于 主机 的 人 侵 检测 技术 与 基于 网 
络 的 和 人 侵 检测 技术 融合 在 一 块 ， 一 方面 能 够 对 主机 上 的 用 户 或 进程 行为 进行 监测 ， 另 一 
方面 能 够 对 网 络 的 整体 态势 做 出 反应 。 在 具体 实现 上 ， 混 合式 的 入 侵 检 测 主要 分 为 两 种 
类 型 ， 一 种 是 基于 多 种 监测 数据 源 的 入 侵 检 测 技术 ， 另 一 种 是 采用 多 种 不 同类 型 的 检测 
方法 的 入 侵 检 测 技术 。 


15.3.4 入 侵 检 测 的 过 程 


总 的 来 说 ， 入 侵 检测 的 过 程 可 以 分 为 三 个 阶段 ; 信息 收集 、 信 息 分 析 及 告警 与 
响应 。 
1. 信息 收集 
入 侵 检测 的 第 一 步 是 信息 收集 ， 即 从 人 侵 检测 系统 的 信息 源 中 收集 信息 ， 包 括 系 
统 、 网 络 、 数 据 及 用 户 活动 的 状态 和 行为 等 。 而 且 ， 和 需要 在 计算 机 网 络 系统 中 的 若干 不 
同 关键 点 (不 同 网 段 和 不 同 主机 ) 收集 信息 ， 这 除了 尽 可 能 扩大 检测 范围 的 因素 外 ， 
还 有 一 个 重要 的 因素 就 是 从 一 个 源 来 的 信息 有 可 能 看 不 出 疑点 ， 但 从 几 个 源 来 的 信息 的 
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不 一 致 性 却 是 可 疑 行 为 或 入侵 的 最 好 标识 。 

2. 信息 分 析 

言 息 分 析 是 入 侵 检 测 过 程 中 的 核心 环节 ， 没 有 信息 分 析 功能 ， 和 人 侵 检测 也 就 无 从 
谈 起 。 

入侵 检测 的 信息 分 析 方 法 有 很 多 ， 如 模式 匹配 、 统 计 分 析 、 完 整 性 分 析 等 。 每 种 方 
法 都 有 其 各 自 的 优 缺 点 ， 也 都 有 其 各 自 的 应 用 对 象 和 范围 。 

分 析 是 入 侵 检测 的 核心 功能 ， 它 既 能 简单 到 像 一 个 已 浏览 处 理 日 志 的 人 去 建立 决策 
表 ， 也 能 复杂 到 一 个 集成 了 几 百 万 个 处 理 的 非 参数 系统 。 

3. 告警 与 响应 

当 一 个 攻击 或 事件 被 检测 到 以 后 ， 入 侵 检 测 系统 就 应 该 根据 攻击 或 事件 的 类 型 或 性 
质 ， 做 出 相应 的 告警 与 响应 ， 即 通知 管理 员 系 统 正在 遭受 不 良 的 人 侵 ， 或 者 采取 一 定 的 
措施 阻止 人 侵 行为 的 继续 。 


15.3.5 入 侵 检 测 系 统 的 部 署 与 应 用 


网 络 入 侵 检 测 系统 位 于 有 敏感 数据 需要 保护 的 网 络 上 ， 通 过 实时 侦 听 网 络 数据 流 ， 
寻找 网 络 违规 模式 和 未 授权 的 网 络 访问 尝试 。 当 发 现 网 络 违规 行为 和 未 授权 的 网 络 访问 
时 ， 网 络 监控 系统 能 够 根据 系统 安全 策略 做 出 反应 ， 包 括 实 时 报警 、 事 件 登 录 ， 或 执行 
用 户 自 定义 的 安全 策略 等 。 

入侵 检测 系统 可 以 部 署 在 网 络 中 的 核心 ， 监 视 并 记录 网 络 中 的 所 有 访问 行为 和 操 
作 ， 有 效 防止 非法 操作 和 恶意 攻击 。 同 时 ， 入 侵 检 测 系 统 还 可 以 形象 地 重 现 操 作 的 过 
程 ， 可 帮助 安全 管理 员 发 现 网 络 安全 的 隐患 。 

在 图 15-1 中 B1 位 置 部 署 IDS 来 保障 应 用 APP + DB 区 域 安 全 ， 由 于 70% 以 上 的 网 
络 攻击 事件 是 发 生 在 传输 层 和 应 用 层 之 间 ， 我 们 称 这 类 4 ~7 层 上 的 攻击 为 深层 攻击 行 
为 。 传 统 的 防火 墙 主要 在 1~3 层 ， 对 4 层 以 上 的 攻击 显得 力不从心 。 为 了 实现 对 深层 
攻击 的 防御 ， 弥 补 防火 墙 等 传统 安全 网 关 设 备 的 不 足 ， 应 部 署 人 侵 检测 系统 。 入 侵 检测 
系统 以 旁 路 方式 部 署 ， 实 时 分 析 网 络 链 路 上 的 传输 数据 ， 对 隐藏 在 4 ~7 层 特别 是 应 用 
层 的 攻击 行为 进行 检测 。 


15.3.6 入 侵 防御 系 统 与 WEB 应 用 防火 墙 


IDS 技术 采用 了 一 种 预 设置 式 、 特 征 分 析 式 工作 原理 ， 所 以 检测 规则 的 更 新 总 是 落 
后 于 攻击 手段 的 更 新 。 为 了 弥补 其 不 足 ， 入 侵 防 御 系 统 (Intrusion Prevention System， 
IPS) 与 WEB 应 用 防火 墙 (WAF) 应 运 而 生 。 

1. 入 侵 防御 系统 

入 侵 防 御 系 统 (IPS) 是 一 部 能 够 监视 网 络 或 网 络 设备 的 网 络 数据 传输 行为 的 计算 
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机 网 络 安全 设备 ， 通 过 串联 而 非 旁 路 部 署 ， 能 够 实时 地 中 断 、 调 整 或 隔离 一 些 不 正常 或 
是 具有 伤害 性 的 网 络 数据 传输 行为 。 

对 于 部 署 在 数据 转发 路 径 上 的 IPS， 可 以 根据 预先 设 定 的 安全 策略 ， 对 流 经 的 每 个 
报 文 进行 深度 检测 〈 协 议 分 析 跟 踪 、 特 征 匹 配 、 流 量 统计 分 析 、 事 件 关 联 分 析 等 ) ， 如 
果 一 旦 发 现 隐 藏 于 其 中 的 网 络 攻击 ， 可 以 根据 该 攻击 的 威胁 级 别 立即 采取 抵御 措施 ， 这 
些 措施 包括 (按照 处 理 力度 ) : 向 管理 中 心 告 警 、 丢 弃 该 报 文 、 切 断 此 次 应 用 会 话 、 切 
断 此 次 TCP 连接 。 

IPS 内 部 的 技术 特征 包括 : 

(1) 纤 入 式 运行 ”只 有 以 租 入 模式 运行 的 IPS 设备 才能 够 实现 实时 的 安全 防护 ， 
实时 阻拦 所 有 可 疑 的 数据 包 ， 并 对 该 数据 流 的 剩余 部 分 进行 拦截 。 

(2) 深入 分 析 和 控制 ”IPS 必须 具有 深入 分 析 能 力 ， 以 确定 哪些 恶意 流量 已 经 被 拦 
截 ， 根 据 攻击 类 型 、 策 略 等 来 确定 哪些 流量 应 该 被 拦截 。 

(3) 入 侵 特 征 库 ”高 质量 的 入 侵 特征 库 是 IPS 高 效 运行 的 必要 条 件 ，IPS 还 应 该 定 
期 升级 入 侵 特征 库 ， 并 快速 应 用 到 所 有 传感器 。 

(4) 高 效 处 理 能 力 ”IPS 必须 具有 高 效 处 理 数据 包 的 能 力 ， 对 整个 网 络 性 能 的 影响 
保持 在 最 低 水 平 。 

2. WEB 应 用 防火 墙 (WAF) 

WEB 应 用 防火 墙 是 通过 执行 一 系列 针对 HITPZHTTPS 的 安全 策略 来 专门 为 WEB 应 
用 提供 保护 的 一 种 技术 和 产品 。 

WAF 可 以 阻止 针对 WEB 的 各 种 攻击 ， 壁 如 :SQL 注入 、XSS 攻击 、 洲 出 攻击 、 挂 
马 攻击 、 盗 链 攻击 、WEB 恶意 扫描 攻击 、CSRF 攻击 、XML DoS 攻击 、CC 攻击 等 。 

WEB 防火 墙 产品 部 署 在 WEB 服务 器 的 前 面 ， 串 行 接 入 ,不 仅 在 硬件 性 能 上 要 求 
高 ， 而 且 不 能 影响 WEB 服务 ， 所 以 往往 不 仅 具 有 HA 功能 、Bypass 功能 ， 而 且 还 需要 
与 负载 均衡 、WEB Cache 等 WEB 服务 器 前 的 常见 的 产品 协调 部 署 。 


15.3.7 入侵 防御 系统 与 WEB 应 用 防火 墙 的 部 署 与 应 用 


在 图 15-1 中 的 C1 位 置 部 署 IPS 来 保障 银行 网 站 WEB 与 邮件 服务 器 区 域 的 不 受 来 
自 Internet 非 正 常 访问 的 攻击 。 

ee sos 0 
链 路 互联 ， 提 高 业务 系统 的 可 用 性 。 

Al10、A11 的 位 置 部 署 WEB 应 用 防火 墙 来 保障 网 银 系统 的 安全 。 


15.4 虚拟 专用 网 络 (VPN) 技术 


VPN 的 英文 全 称 是 “Virtual Private Network”， 翻 译 过 来 就 是 “虚拟 专用 网 络 ”。 顾 
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名 思 义 ， 我 们 可 以 把 它 理解 成 是 虚拟 出 来 的 企业 内 部 专线 。 


15.4.1 VPN 基本 概念 


虚拟 专用 网 络 的 目的 是 提供 一 条 安全 的 网 络 通道 ,通常 是 通过 Internet 的 专用 隧 
道 。 要 达到 这 个 目的 ， 需 要 将 传输 内 容 封装 在 含有 目的 路 由 信息 的 数据 包 包头 信 中 ， 这 
些 信息 有 助 于 将 所 传输 的 内 容 送 达 目 的 地 。 传 输 内 容 通 常会 进行 加 密 处 理 ， 这 样 能 够 保 
证 数据 的 完整 性 、 机 密 性 和 可 认证 性 。 它 可 以 通过 特殊 的 加 密 的 通信 协议 在 连接 到 In- 
ternet 上 的 位 于 不 同 地 方 的 两 个 或 多 个 企业 内 部 网 之 间 建 立 一 条 专 有 的 通信 线路 ， 就 好 
比 是 架设 了 一 条 专线 一 样 ， 但 是 它 并 不 需要 真正 地 去 铺设 光缆 之 类 的 物理 线路 。 虚 拟 专 
用 网 可 以 帮助 远程 用 户 、 公 司 分 支 机 构 、 商 业 伙伴 及 供应 商 同 公司 的 内 部 网 建立 可 信 的 
安全 连接 ， 并 保证 数据 的 安全 传输 。 

VPN 通过 一 个 私有 的 通道 来 创建 一 个 安全 的 私有 连接 ， 将 远程 用 户 、 公 司 分 支 机 
构 、 公 司 的 业务 伙伴 等 跟 企 业 网 连接 起 来 ， 形 成 一 个 扩展 的 公司 企业 网 。 


15. 4.2 VPN 应 用 场景 


在 图 15-1 中 ，D1、D2 的 位 置 旁 路 部 署 SSL-VPN 时 采用 旁 路 双 机 模式 部 署 ， 采 用 
双 宛 余 链 路 互联 ， 可 提高 业务 系统 的 可 用 人 性。 

部 署 第 三 方 支付 区 域 ， 实 现 到 第 三 方 支付 系统 间 的 专线 或 互联 网 VPN 的 互通 链 路 ， 
同时 也 可 以 安全 地 接 人 到 网 银 WEB 服务 器 区 域 、 网 页 APP 与 DB 服务 器 区 域 、 网 站 
WEB 与 邮件 服务 器 区 域 。 


15.5 无 线 局 域 网 安全 技术 


15.5.1 无 线 局 域 网 简介 


无 线 局 域 网 络 英文 全 名 为 Wireless Local Area Networks ， 简 写 为 WLAN。 无线 网 络 利 
用 射频 (Radio Frequency, RF) 技术 ,使 用 电磁 波 ， 取 代 传 统 的 双 绞 铜 线 所 构成 的 局 域 
网 络 ， 在 空中 进行 通信 和 连接， 使 得 无 线 局 域 网 络 能 利用 简单 的 存 取 架构 让 用 户 方便 联网 
的 效果 。 

WLAN 具有 安装 便捷 、 使 用 灵活 、 经 济 节约 、 易 于 扩展 等 有 线 网 络 无 法 比拟 的 优 
点 ， 但 是 由 于 无 线 局 域 网 信道 开放 的 特点 ， 使 攻击 者 能 够 很 容易 进行 窃听 、 恶 意 修 改 ， 
因此 安全 性 成 为 阻碍 无 线 局 域 网 发 展 的 最 重要 因素 。 
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15. 5.2 无 线 局 域 网 面临 的 威胁 


无 线 网 络 一 般 受 到 的 攻击 可 分 为 两 类 : 一 类 是 关于 网 络 访问 控制 、 数 据 机 密 性 保护 
和 数据 完整 性 保护 而 进行 的 攻击 ; 另 一 类 是 基于 无 线 通信 网 络 设计 、 部 署 和 维护 的 独特 
方式 而 进行 的 攻击 。 对 于 第 一 类 攻击 在 ， 有 线 网 络 的 环境 下 也 会 发 生 。 可 见 ， 无 线 网 络 
的 安全 性 是 在 传统 有 线 网 络 的 基础 上 增加 了 新 的 安全 性 威胁 。 

1) 加 密 算法 安全 性 不 足 。 

2) 用 户 安全 意识 不 强 。 

3) 进行 搜索 攻击 。 

4) 信息 泄露 威胁 。 

5) 无 线 网 络 身份 验证 坎 骗 。 

6) 网 络 接 管 与 算 改 。 

7) 拒绝 服务 攻击 。 


15. 5.3 无 线 局 域 网 的 应 用 


一 般 在 银行 的 业务 大 厅 中 会 通过 无 线 局 域 网 给 客户 提供 上 网 服务 ， 本 书 不 作 详 细 
讲解 。 


15.6 网 络 设备 安全 防护 


本 节 主 要 讲述 如 何 通 过 保证 网 络 设备 ( 路由器、 交换 机 等 ) 的 安全 管理 来 保证 基 
本 的 网 络 安全 。 


15.6.1 VLAN 划分 


虚拟 局 域 网 (Virtual Local Area Network，VLAN) 是 一 种 建构 于 局 域 网 交换 技术 
(LAN Switch) 的 网 络 管理 的 技术 ， 网 管 人 员 可 以 借 此 通过 控制 交换 机 有 效 分 派出 人 局 
域 网 的 数据 包 到 正确 的 出 入 端口 ， 达 到 对 不 同 实体 局 域 网 中 的 设备 进行 逻辑 分 群 
(Grouping) 管理 ， 并 降低 局 域 网 内 大 量 数据 流通 时 ， 因 无 用 数据 包 过 多 而 导致 拥塞 的 
问题 ， 以 及 提升 局 域 网 的 信息 安全 保障 。 
为 实现 交换 机 以 太 网 的 广播 隔离 ， 一 种 理想 的 解决 方案 就 是 采用 虚拟 局 域 网 技术 。 
这 种 对 连接 到 第 2 层 交 换 机 端口 的 网 络 用 户 的 逻辑 分 段 技 术 的 实现 非常 灵活 ， 它 可 以 不 
受用 户 物理 位 置 限制 ， 根 据 用 户 需求 进行 VLAN 划分 ;可 在 一 个 交换 机 上 实现 ， 也 可 跨 
交换 机 实现 ;可 以 根据 网 络 用 户 的 位 置 、 作 用 、 部 门 或 根据 使 用 的 应 用 程序 、 上 层 协 议 
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或 者 以 太 网 连接 端口 的 硬件 地 址 来 进行 划分 。 

使 用 VLAN 的 优点 包括 : 

(1) 控制 广播 风暴 ”一 个 VLAN 就 是 一 个 逻辑 广播 域 ， 通 过 对 VLAN 的 创建 ， 隔 
离 了 广播 ， 缩 小 了 广播 范围 ， 可 以 控制 广播 风暴 的 产生 。 

(2) 提高 网 络 整体 安全 性 ”通过 路 由 访问 列表 和 MAC 地 址 分 配 等 VLAN 划分 原 
则 ， 可 以 控制 用 户 访问 权限 和 逻辑 网 段 大 小 ， 将 不 同 用 户 群 划分 在 不 同 VLAN， 从 而 提 
高 交换 式 网 络 的 整体 性 能 和 安全 性 。 

(3) 网 络 管理 简单 、 直 观 ” 对 于 交换 式 以 太 网 ， 如 果 对 某 些 用 户 重新 进行 网 段 分 
配 ， 需 要 网 络 管理 员 对 网 络 系统 的 物理 结构 重新 进行 调整 ， 甚 至 需要 追加 网 络 设备 ， 增 
大 网 络 管理 的 工作 量 。 在 一 个 交换 网 络 中 ，VLAN 提供 了 网 段 和 机 构 的 弹性 组 合 机 制 。 

从 技术 角度 讲 ， 依 据 不 同 原 则 ，VLAN 的 划分 有 以 下 三 种 方法 : 

1) 基于 端口 的 VLAN 划分 。 

2) 基于 MAC 地 址 的 VLAN 划分 。 

3) 基于 路 由 的 VLAN 划分 。 

在 图 15-1 中 ,各 区 域 的 网 络 划 分 均 使 用 到 了 VLAN 技术 ,采用 的 是 基于 端口 的 
VLAN 划分 方式 ， 详 见 图 中 连接 线 上 的 VLAN 编号 。 


15.6.2 网 络 设备 的 访问 控制 


网 络 设备 访问 控制 的 主要 目的 是 防止 非法 用 户 进入 网 络 设备 并 对 其 配置 进行 非法 修 
改 ， 避 人 免 网 络 瘫痪 。 

1. 对 网 络 设 备 访问 的 控制 

(1) 通过 设置 并 加 密 口令 实现 访问 控制 ”网 络 设备 提供 的 最 基本 的 安全 是 在 设备 
访问 和 配置 过 程 中 设置 登录 口令 。 如 果 对 设备 的 访问 和 配置 不 加 以 审查 ,往往 会 引发 安 
全 问题 。 例 如 ， 有 些 设备 出 三 时 往往 没有 设置 登录 口令 或 设置 一 些 缺 省 口令 字 ， 而 一 些 
管理 员 就 利用 这 些 缺 省 的 口令 进行 管理 ， 攻 击 者 很 容易 就 找到 了 一 个 人口， 从 而 引发 安 
全 问题 。 

(2) 对 虚拟 终端 的 访问 控制 ”虚拟 端口 相对 于 实 端 口 而 言 ， 一 般 根 据 需 要 在 交换 
机 (或 路 由 器 ) 上 虚拟 出 一 些 端口 ， 这 些 端 口 被 称 为 虚拟 终端 或 虚拟 端口 。 每 台 Cisco 
设备 一 般 有 5 个 缺 省 虚拟 终端 ， 在 虚拟 终端 线路 上 实施 访问 控制 列表 ， 可 以 控制 谁 可 以 
远程 登录 (Telnet) 到 该 设备 。 

(3) 对 WEB 控制 台 的 访问 控制 ”WEB console 是 配置 网 络 设备 的 男 一 种 常用 方法 ， 
具有 友好 的 操作 界面 ， 使 配置 网 络 设备 变 得 更 加 容易 ， 但 同时 也 引出 了 一 些 安全 问题 。 
为 了 使 得 网 络 设备 的 管理 与 维护 更 加 的 便利 ， 许 多 网 络 设备 厂商 都 在 自己 的 产品 中 实现 
了 HTTP 服务 器 ， 以 建立 一 个 交叉 平台 的 、 易 于 管理 的 图 形 化 解决 方案 。 用 户 可 以 通过 
WEB 图 形 化 界面 对 网 络 设备 进行 管理 。 多 数 的 网 络 设备 ， 拥 有 一 整套 机 制 来 进行 认证 
和 限制 HTTP 远程 访问 。 网 络 管理 员 必 须 牢记 ， 瞬 入 到 网 络 基础 设施 设备 的 HTTP 客户 
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机 和 服务 需 之 间 的 通讯 应 当 是 安全 的 。 

(4) 对 设备 的 访问 设置 不 同 的 权限 “网 络 设备 的 super 命令 设置 的 口令 用 于 低级 别 
用 户 向 高 级 别 用 户 切换 时 进行 验证 ， 类 似 于 UNIX 系统 和 Linux 系统 中 从 普通 用 户 转 换 
到 root 账户 时 须 输入 super 进行 切换 。 网 络 设备 的 命令 级 别 共 分 为 4 级 ,分 别 为 访问 级 
(0 级 ) 、 监 控 级 (1 级 ) 、 系 统 级 (2 级 ) 和 管理 级 (3 级 ) ， 当 低级 别 用 户 向 高 级 别 切 
换 时 ， 输 入 命令 super [level] ， 此 时 如 果 设 置 了 网 络 设备 的 super 的 password， 则 只 有 
验证 通过 后 切换 才能 实现 。 

(5) 控制 会 话 超时 及 设置 警示 登录 标语 消息 “如果 控 制 台 在 特权 模式 下 没有 人 看 
管 ， 那 么 任何 用 户 都 可 以 乘机 修改 网 络 设备 的 配置 。 而 对 空闲 会 话 的 超时 设置 可 以 获得 
额外 的 安全 保障 ， 默 认 空闲 会 话 超时 时 间 为 10 分 钟 ， 可 以 通过 exec-timeout 命令 改变 会 
话 超 时 时 间 。 

2. 利用 SNMPYv3 协议 来 代替 SNMPv2 协议 

简单 网 络 管理 协议 (Simple Network Management Protocol，SNMP) 是 一 个 搜集 统计 
信息 并 远程 监视 网 络 基础 设施 设备 的 协议 ， 非 常 简单 。 在 V2 版 本 中 ， 其 实 根本 没有 提 
供 任何 的 安全 措施 。 那 时 ，SNMP 协议 都 是 通过 明文 传输 的 ， 包 括 密码 在 内 ， 在 网 络 内 
的 传输 都 是 明文 的 。 所 以 ， 是 非常 不 安全 的 。 

为 此 ， 建 议 应 该 采用 V3 版 本 ， 而 不 要 采用 V2 版 本 。 因 为 V3 解决 了 V2 版 本 中 的 
一 些 漏 洞 。 特 别 值得 强调 的 是 ,在 V3 版 本 中 ,采用 了 MD5 算法 来 验证 SNMP 管理 融和 
代理 器 之 间 传 递 信息 。 在 网 络 设备 中 ， 有 SNMP 两 个 选项 ， 分 别 为 只 读 与 读 写 两 个 
模式 。 

3. SSH 与 Telnet 远程 管理 协议 

在 实际 工作 中 ， 还 是 习惯 通过 一 些 远 程 管理 协议 来 远程 管理 网 络 设备 。 如 果 用 户 需 
要 远程 管理 的 话 ， 则 有 SSH 与 Telnet 两 种 协议 可 以 选择 。 不 过 在 选择 的 时 候 ， 需 要 注 
意 一 个 问题 。Telnet 与 SSH 在 安全 上 是 相差 很 大 的 。 

Telnet 是 一 种 远程 管理 协议 , 但 是 ， 它 跟 SNMPv2 版 本 一 样 ， 基 本 上 没有 提供 可 以 
使 用 的 安全 机 制 ， 无 论 是 代码 ， 还 是 用 户 名 与 口令 ,在 网 络 上 都 是 明文 传输 的 。 

使 用 SSH 来 管理 网 络 设备 ， 是 因为 SSH 比 Telnet 协议 提供 了 更 高 的 安全 性 。 如 其 
口令 与 代码 在 网 络 中 都 是 通过 密 文 来 传输 的 。 

在 维护 各 厂商 的 网 络 设备 时 ， 其 性 能 、 安 全 性 、 灵 活性 是 日 常 管理 工作 中 的 三 个 主 
要 目标 。 故 对 于 安全 性 来 说 ， 可 以 借鉴 以 上 的 三 个 建议 ,为 网 络 设备 提供 一 个 安全 的 管 
理 环境 。 


瑟 


15.6.3 网 络 设备 安全 配置 


为 保证 能 正确 地 操作 路 由 和 交换 机 ， 需 要 进行 许多 配置 工作 。 这 些 配置 工作 包括 安 
装 补 本 包 及 对 设备 进行 安全 配置 来 增强 安全 性 。 再 花费 大 量 时 间 和 步骤 来 打 补 本 和 加 
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网 络 设备 ， 网 络 就 会 更 安全 。 

1. 安装 补丁 

各 个 网 络 设备 厂商 提供 的 补丁 和 更 新 程序 要 及 时 更 新 。 

2. 禁用 多 余 服 务 

路 由 圳 、 交 换 机 也 像 其 他 通用 操作 系统 (Windows、Linux、Unix 等 ) 一 样 ， 也 有 
除了 转发 数据 包 之 外 的 服务 ， 可 以 禁用 或 保护 这 些 服务 来 增强 网 络 安全 性 。 

(1) ARP 代理 ARP 带 来 允许 一 台 主 机 代表 其 他 真实 的 主机 来 响应 ARP 请 求 ， 通 
常 在 防火 墙 上 使 用 ， 用 来 为 受 保护 的 主机 代理 通信 。 多 数 厂商 的 路 由 都 默认 支持 ARP 
代理 功能 ， 但 这 会 使 攻击 者 实行 ARP 欺骗 攻击 来 对 抗 不 在 本 地 子 网 或 VLAN 中 的 主机 。 

(2) 其 他 服务 所 有 的 路 由 器 都 提供 许多 服务 ， 但 如 果 不 需 要 的 话 ， 可 以 关闭 。 下 
面 是 一 些 服 务 样 例 列 表 ， 应 该 根据 实际 环境 来 选择 替换 。 我 们 需要 知道 哪些 能 够 在 网 络 
环境 中 使 用 ， 哪 些 是 默认 开启 的 ， 怎 么 样 关 闭 或 防止 未 授权 的 人 员 使 用 。 

1) TFTP 服务 。 小 型 文件 传输 (Trivial File Transfer Protocol，TFTP) 服务 能 够 传输 
路 由 器 系统 配置 文件 或 者 上 传 软件 更 新 至 路 由 器 。 但 是 TFTP 并 不 提供 身份 认证 和 授权 
功能 ， 大 多 数 管 理 员 在 需要 的 时 候 才 会 打开 此 服务 。 

2) BOOTP 服务 。 路 由 器 可 以 通过 BOOTP ( Bootstrap Protocol) 服务 的 方式 来 向 客 
户 端 提供 DHCP 服务 。 而 在 大 型 企业 中 通常 会 有 专用 的 DHCP 服务 器 来 提供 客户 端的 
IP 地 址 分 配 工作 ， 所 以 需要 关闭 此 服务 。 

3) 网 页 服务 。 许 多 厂商 的 设备 都 默认 提供 了 网 页 服务 用 于 修改 配置 。 如 果 不 需 要 
使 用 网 页 的 方式 管理 路 由 器 ， 应 禁止 该 服务 。 

4) 诊断 服务 ”大 多 数 的 路 由 器 都 开启 了 多 个 基于 UDP 或 TCP 的 诊断 服务 ， 类 似 
于 Echo 、Debug 等 。 这 些 调试 功能 会 占用 大 量 资源 ， 并 且 攻 击 者 也 可 以 通过 开启 复杂 的 
网 络 情况 下 的 路 由 调试 功能 来 占用 大 量 资源 ， 以 达到 创建 DoS 的 目的 。 如 果 不 是 用 于 
故障 调试 或 测试 的 话 ， 应 该 关闭 这 些 服务 。 


15.7 ”案例 介绍 : 某 股份 制 商业 银行 网 上 银行 系统 网 络 安 
全 建设 实例 


网 上 银行 作为 银行 业 利 用 互联 网 作为 其 产品 、 服 务 和 信息 的 新 型 渠道 ， 是 其 向 零售 和 
公司 客户 提供 7 x24 小 时 、 全 功能 服务 的 新 模式 。 网 上 银行 提供 的 服务 和 产品 包括 存 贷 、 
账户 管理 、 金 融 顾问 、 电 子 账 务 支 付 ， 以 及 其 他 一 些 诸如 网 络 货币 等 电子 支付 的 产品 和 服 
务 。 作 为 21 世纪 新 兴 的 在 线 炬 道 ， 改 变 了 传统 银行 的 经 营 模 式 ， 并 以 其 低廉 的 成 本 、 方 
便 的 操作 和 广阔 的 前 景 越 来 越 受 到 人 们 的 重视 。 目 前 ， 网 上 银行 业务 越 来 越 普及 ， 并 随 着 
移动 互联 网 和 智能 终端 的 快速 发 展 ， 衍 生出 了 手机 银行 、 短 信和 银行 等 多 种 创新 服务 。 从 理 
论 上 说 ， 网 上 银行 已 为 客户 提供 了 超越 时 空 的 “AAA” 式 服务 ， 即 在 任何 时 候 (Any- 
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为 客户 提供 每 年 365 天 ， 每 天 24 小 时 ; 任何 地 方 (Anywhere) 家 里 、 办 公 
室 、 旅 途中 …… 以 任何 方式 (Anyhow) 一 一 电话 、 互 联网 、 手 机 、 传 真 、 电 子 邮 件 、 短 消 
息 …… 提 供 全 天 候 金 融 服务 。 

人 们 在 享受 网 上 银行 便利 性 的 同时 ， 对 网 上 银行 的 安全 性 也 感到 担 优 。 不 断 曝 光 的 
网 上 银行 账户 被 次 事件 不 禁 让 人 心 恢 肉 跳 ， 连 续 多 年 的 3 15 晚会 更 是 把 网 银 安全 问题 
推 到 了 风口 浪 尖 。 根 据 网 上 银行 调查 报告 结果 显示 ， 网 上 银行 安全 性 仍 是 广大 用 户 最 为 
担忧 的 ， 也 是 用 户 最 为 关心 的 话题 。 

随 着 A 股份 制 商 业 银 行 互 联网 业务 的 迅速 开展 ，A 银行 原 有 的 网 上 银行 系统 已 经 
不 能 满足 业务 发 展 的 要 求 。 同 时 ， 为 了 A 银行 业务 系统 建设 对 于 网 上 银行 业务 的 开展 
需要 和 A 银行 用 户 交 付 的 要 求 ， 需 要 升级 改造 现 有 的 网 上 银行 系统 为 未 来 业务 开展 提 
供 支持 ， 在 满足 A 银行 网 上 银行 业务 安全 性 的 同时 ， 提 升 其 互联 网 业务 的 整体 安全 性 。 
升级 改造 后 的 网 络 将 充分 考虑 当前 及 未 来 3 ~5 年 内 A 银行 的 业务 需求 ， 具 有 规范 化 、 
多 业务 支撑 、 安 全 可 靠 的 专用 互联 网 业务 平台 ， 以 数据 传输 为 主 ， 同 时 支持 语音 和 图 像 
的 交换 与 传输 ， 实 现 数据 、 语 音 、 视 频 等 多 种 信息 交互 业务 ， 同 时 具备 较 高 的 网 络 安全 
措施 。 本 案例 仅 对 A 银行 网 上 银行 安全 建设 中 的 网 络 安全 部 分 做 了 介绍 。 

1. 项 目 建 设 目标 

本 次 项 目 建设 涉及 A 银行 数据 中 心 网 上 银行 区 域 的 网 络 安全 系统 建设 ， 将 充分 借 
鉴 银 行业 先进 的 设计 思想 ， 参 考 其 他 金融 机 构 的 相关 建设 经 验 。 建 成 后 的 网 络 安全 系统 
应 该 完全 符合 设计 标准 ,满足 A 银行 业务 的 快速 发 展 需求 ， 实 现 各 种 渠道 的 网 上 交易 。 
满足 多 线路 的 交易 渠道 的 流量 智能 分 担 和 宛 余 设计 多 中 心 站 点 ， 满 足 未 来 两 地 三 中 心 或 
多 中 心 架构 ， 全 面 提升 客户 体验 和 业务 连续 性 。 

A 银行 目前 主要 的 网 上 银行 业务 包括 : 

(1) 个 人 网 上 银行 业务 ”为 客户 提供 账户 信息 查询 、 转 账 汇款 、 投 资 理财 、 缴 费 
支付 、 外 汇 交 易 、 信 用 卡 服务 等 一 揽 子 金融 业务 。 

(2) 企业 网 上 银行 业务 ”为 企业 客户 提供 账户 查询 、 授 权 审 批 、 银 企 对 账 等 公司 
银行 服务 ， 以 及 账户 总 览 、 任 务 中 心 、 预 约 周期 转账 、 电 子 工 资 单 、 网 状 授权 账户 、 产 
业 链 金融 等 多 种 金融 服务 。 

(3) 手机 银行 业务 ”为 移动 终端 客户 量 号 定制 的 移动 金融 服务 平台 ， 满 足 个 人 、 
企业 、 小 微 客户 的 金融 服务 需求 ， 拓 展 服务 渠道 ， 提 供 丰 富 的 移动 金融 服务 。 

2. 项 目 建 设 方案 

(1) 网 络 安全 建设 的 原则 为 满足 本 项 目 建 设 要 求 ， 网 络 安全 建设 部 分 将 遵循 以 下 
原则 : 

1) 强化 区 域 划分 原则 ， 对 不 同 的 功能 区 域 单独 防护 。 

2) 实施 边界 防御 ， 采 取 访 问 控制 和 检测 技术 相 结 合 ， 在 实现 访问 控制 基础 上 ， 加 
强 安全 事件 的 检测 、 预 警 与 审计 ， 实 时 掌握 安全 威胁 ， 及 时 分 析 安 全 风险 ， 并 通过 分 析 
结果 强化 现 有 的 安全 配置 ， 保 持 最 佳 的 安全 状态 。 
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3) 关键 业务 系统 除 加 强 边界 防护 外 ， 在 关键 业务 主机 上 也 应 采取 安全 控制 措施 ， 
并 加 强 变更 〈 系 统 配置 文件 及 数据 ) 审批 、 异 常 流量 等 安全 措施 。 

(2) 网 络 安全 建设 的 具体 内 容 ”本 网 络 安全 建设 案例 将 网 络 访问 控制 、 防 拒绝 服务 攻 
击 、 入 侵 检 测 与 保护 、 行 为 审计 、 恶 意 代码 防范 改 等 多 个 层面 展开 。 

1) 网 络 访问 控制 。 根 据 网 络 安全 体系 架构 设计 了 以 下 主要 业务 区 域 . 

Q 互联 网 接 人 区 域 : 提供 多 运营 商 互 联网 链 路 接 入 ， 实 现 智能 DNS 解析 等 功能 。 

@) 网 银 WEB 区 域 : 实现 来 自 互联 网 用 户 的 WEB 访问 。 

@) 应 用 APP+DB 区 域 : 实现 网 上 银行 业务 交易 处 理 ， 提 供 APP 与 DB 之 间 的 互 
访 ， 并 与 内 网 前 置 机 进行 通信 。 

@ 运 维 管理 区 域 : 提供 网 上 银行 系统 的 带 外 网 管 和 安全 系统 管理 部 署 。 

@) 第 三 方 支付 接 人 区 域 : 部 署 第 三 方 支付 系统 前 置 机 ， 实 现 到 第 三 方 支付 系统 间 
的 专线 或 互联 网 VPN 的 互通 链 路 。 

以 上 各 个 业务 区 域 ， 通 过 部 署 防火 墙 设备 实现 各 个 业务 区 域 的 隔离 和 安全 防护 ， 所 
有 关键 网 络 设备 均 采 用 双 机 部 署 模式 ， 采 用 双 宛 余 链 路 互联 ， 提 高 了 业务 系统 的 可 
用 性 。 

2) 网 络 防 拒绝 服务 攻击 。 拒 绝 服务 攻击 (DoS) 的 攻击 方式 有 很 多 种 ， 最 基本 的 
也 是 危害 最 大 的 DoS 攻击 就 是 利用 合理 的 服务 请 求 来 占用 过 多 的 服务 资源 ， 从 而 使 合 
法 用 户 无 法 得 到 服务 的 响应 。 由 于 实施 拒绝 服务 攻击 的 成 本 低 、 破 坏 力 大 ， 也 是 当前 不 
法 分 子 经 常 使 用 的 攻击 手段 之 一 。 

为 有 效 抵 御 拒 绝 服务 攻击 ， 在 每 条 运营 商 线路 上 串 接 一 台 防 DDoS 攻击 设备 ， 通 过 
控制 系统 总 连接 数目 、 半 连接 数目 、 基 于 协议 的 连接 数控 制 和 基于 地 址 的 连接 数控 制 等 
手段 ， 以 防范 与 抵御 最 具 攻击 力 的 DoS 攻击 。 

3) 网 络 人 侵 检测 与 保护 。 由 于 70 多 以 上 的 网 络 攻击 事件 是 发 生 在 传输 层 和 应 用 层 
之 间 ， 我 们 称 这 类 4 ~7 层 上 的 攻击 为 深层 攻击 行为 。 传 统 的 防火 墙 主要 在 1 ~3 层 ， 对 
4 层 以 上 的 攻击 显得 力不从心 。 为 了 实现 对 深层 攻击 的 防御 ， 弥 补 防火 墙 等 传统 安全 网 
关 设 备 的 不 足 ， 应 部 署 和 人 侵 检测 系统 。 入 侵 检测 系统 以 旁 路 方式 部 署 ， 实 时 分 析 网 络 链 
路 上 的 传输 数据 ， 对 隐藏 在 4 ~7 层 特 别 是 应 用 层 的 攻击 行为 进行 检测 。 

网 络 人 侵 检测 系统 在 对 数据 链 路 层 到 应 用 层 的 网 络 数据 进行 全 面 分 析 的 基础 之 上 ， 
融合 漏洞 分 析 人 信息， 可 以 对 上 报 的 攻击 事件 进行 事先 的 预 分 析 ， 达 到 精确 报警 的 目的 。 
网 络 人 侵 检测 系统 采用 基于 策略 的 防护 方式 ， 内 置 了 多 种 默认 安全 策略 集 ， 在 上 线 运行 
前 应 根据 当前 系统 现状 ， 选 择 最 适合 自己 需要 的 安全 策略 ， 以 达到 最 佳 防护 效果 ， 并 可 
根据 预 设 事件 发 生 的 频率 来 调整 使 用 的 安全 策略 ， 从 而 实现 减少 日 志 量 和 自动 修改 事件 
风险 级 别 。 

4) 网 络 行为 审计 。 网 络 行为 审计 是 信息 安全 最 重要 的 方面 之 一 ， 它 是 实现 安全 事 
件 的 可 追溯 性 、 不 可 和 否认 性 的 重要 数据 来 源 。 网 上 银行 系统 由 于 数据 源 多 、 数 据 量 大 、 
数据 类 型 复杂 ， 每 日 面临 大 量 的 非法 攻击 事件 和 可 疑 内 部 违规 事件 等 ， 良 好 的 安全 审计 
能 力 是 分 析 网 上 银行 系统 安全 状况 的 必要 条 件 。 
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网 上 银行 系统 行为 审计 主要 包括 以 下 内 容 : 

J 审查 内 部 人 员 操 作 安 全 隐患 。 由 于 内 部 员工 违规 操作 导致 的 安全 问题 ， 根 据 最 
新 统计 资料 ， 对 企业 造成 严重 攻击 中 的 70% 是 来 自 于 组 织 里 的 内 部 人 员 。 

@) 审查 第 三 方 维护 人 员 安 全 隐患 。 由 于 业务 需求 和 人 力 等 诸多 原因 ， 银 行 会 将 非 
核心 业务 外 包 给 设备 商 或 者 其 他 专业 代 维 公司 ， 如 何 有 效 地 监控 设备 厂商 和 代 维 人 员 的 
操作 行为 ， 并 进行 严格 的 审计 ， 是 信息 安全 的 重要 工作 之 一 。 

(3 审查 关键 业务 系统 的 访问 控制 与 业务 数据 流 ， 在 减 小 核心 信息 资产 被 破坏 或 汇 
漏 的 同时 ， 有 效 控制 业务 运行 风险 ， 直 观 掌握 业务 系统 运行 的 安全 状况 。 

(9 审查 内 容 包 括 业 务 数据 流量 、 用 户 行为 等 ， 应 可 直观 地 反映 网 络 环境 的 安全 
状况 。 

5) 恶意 代码 防范 。 为 做 好 网 络 边界 的 恶意 代码 防范 工作 ， 从 全 网 防护 的 角度 出 发 ， 
在 互联 网 网 络 边界 部 署 防 病毒 网 关 安全 设备 ， 对 进出 网 络 边界 的 数据 包 进行 实时 检测 ， 
有 效 控制 病毒 的 传播 途径 。 

3. 项 目 建设 成 果 

上 述 网 络 安全 建设 方案 可 以 很 好 地 满足 《网 上 银行 系统 信息 安全 通用 规范 》 的 相 
关 安 全 要 求 ， 并 符合 国家 信息 安全 等 级 保护 对 于 三 级 系统 的 技术 措施 要 求 ， 能 够 从 信息 
安全 工作 实际 需求 出 发 ， 有 效 控制 内 部 安全 风险 ， 有 助 于 完善 A 银行 信息 科技 内 控 与 
审计 体系 ， 满 足 各 种 合 规 性 要 求 。 
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主机 安全 


主机 是 由 服务 絮 、 终 端 / 工 作 站 等 硬件 设备 与 设备 内 运行 的 操作 系统 、 数 据 库 及 其 
他 系统 软件 共同 构成 。 主 机 安全 包括 了 操作 系统 安全 、 数 据 库 安全 、 终 端 安全 等 相关 内 
容 。 本 章 对 主机 安全 涉及 的 各 方面 内 容 进 行 了 详细 令 述 。 


16.1 主机 安全 概述 


主机 安全 通过 操作 系统 、 数 据 库 管 理 系 统 及 其 他 安全 软件 〈 包 括 防 病毒 、 防 入 侵 、 
木马 检测 ) 实现 的 安全 功能 来 满足 。 信 息 系 统 内 的 服务 器 按 其 功能 划分 ， 可 分 为 应 用 
服务 咒 、 数 据 库 服务 器 、 网 络 管理 服务 人 器、 通信 服务 器 、 文 件 服务 器 等 。 终 端 可 分 为 管 
理 终端 、 业 务 终端 、 办 公 终 端 (PC 终端 与 智能 终端 ) 等 。 

主机 是 网 络 上 的 单个 节点 ， 因 此 主机 安全 是 分 散在 各 个 主机 系统 上 的 ， 不 像 网 络 安 
全 可 以 整体 考虑 ， 需 要 针对 不 同 的 用 途 、 操 作 系统 及 系统 软件 来 分 别 解决 。 

主机 安全 是 指 通过 各 种 手段 ， 保 证 主机 在 数据 存储 和 处 理 的 保密 性 、 完 整 性 、 可 用 
性 ， 它 包括 硬件 、 固 件 、 系 统 软 件 的 自身 安全 ， 以 及 一 系列 附加 的 安全 技术 和 安全 管理 
措施 ， 从 而 建立 一 个 完整 的 主机 安全 保护 环境 。 

主机 安全 的 要 求 主要 有 : 身份 鉴别 、 访 问 控制 、 安 全 审计 、 剩 余 信息 保护 、 和 侵 防 
范 、 亚 意 代码 防范 、 资 源 控 制 。 


16.2 主机 安全 保护 要 求 


2012 年 5 月 ， 中 国人 民 银 行 关 于 发 布 发 布 了 《网 上 银行 系统 信息 安全 通用 规范 》 
(JRAT 0068 一 2012) 。 虽 然 该 规范 是 针对 网 上 银行 系统 ， 但 主机 安全 部 分 具有 普遍 适应 
性 ， 可 作为 银行 业主 机 信息 安全 的 通用 规范 。 
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1. 基本 要 求 

(1) 身份 鉴别 

1) 应 对 登录 操作 系统 和 数据 库 的 用 户 进行 身份 标识 和 上 鉴别， 严禁 匿名 登录 。 

2) 为 不 同 的 操作 系统 和 数据 库 访问 用 户 分 配 不 同 的 账号 并 设置 不 同 的 初始 密码 ， 
禁止 账号 和 密码 共享 。 

3) 应 要 求 系统 的 静态 密码 在 8 位 以 上 ， 由 字母 、 数 字 、 符 号 等 混合 组 成 。 


4) 首次 登录 系统 时 应 强制 修改 密码 ， 至 少 每 90 天 更 改 一 次 密码 ， 不 允许 提交 与 
上 次 相同 的 新 密码 。 


5) 在 收 到 用 户 重 置 密码 的 请 求 后 ， 应 先 对 用 户 身份 进行 核实 再 进行 后 续 操 作 。 

6) 应 启用 登录 失败 处 理 功能 ， 可 采取 结束 会 话 、 限 制 非法 登录 次 数 和 自动 退出 等 
措施 : 

<> 通过 锁定 用 户 的 方式 限制 连续 的 访问 企图 (最 多 不 允许 超过 6 次 ) 。 

<> 锁定 时 间 至 少 设 定 为 30 分 钟 或 直至 管理 员 为 其 解锁 。 

7) 应 确保 对 密码 进行 强 效 加 密 保 护 ， 不 允许 明文 密码 出 现 。 

8) 对 服务 器 进行 远程 管理 时 ， 如 果 数 据 通 过 不 可 信和 网 络 传输 ， 应 采取 加 密 通 信 方 
式 ， 防止 认证 信息 在 网 络 传输 过 程 中 被 窃听 。 

9) 应 采用 两 种 或 两 种 以 上 的 组 合 鉴 别 技术 对 管理 用 户 进行 身份 鉴别 ， 并 且 身 份 鉴 
别 信息 至 少 有 一 种 是 不 可 伪造 的 ， 如 以 密 钥 证 书 、 动 态 口令 卡 、 生 物 特 征 等 作为 身份 鉴 
别 信息 。 

10) 系统 和 设备 的 口令 密码 设置 应 在 安全 的 环境 下 进行 ， 必 要 时 应 将 口令 密码 纸 
质 密 封 交 相关 部 门 保 管 ， 未 经 主管 领导 许可 ， 任 何人 不 得 擅自 拆 阅 密 封 的 口令 密码 ， 拆 
阅 后 的 口令 密码 使 用 后 应 立即 更 改 并 再 次 密封 存放 。 

(2) 访问 控制 

1) 根据 “业务 必需 ”原则 授予 不 同 用 户 为 完成 各 自 承担 任务 所 需 的 最 小 权限 ， 并 
在 它们 之 间 形 成 相互 制约 的 关系 。 

2) 应 根据 管理 用 户 的 角色 〈 例 如， 系统 管理 员 、 安 全 管理 员 、 安 全 审计 员 等 ) 分 
配 权限 ， 实 现 管理 用 户 的 权限 分 离 ， 仅 授予 管理 用 户 所 需 的 最 小 权限 。 

3) 应 实现 操作 系统 和 数据 库 系统 特权 用 户 的 权限 分 离 。 

4) 严格 限制 默认 用 户 的 访问 权限 ， 重 命名 系统 默认 用 户 ， 修 改 默认 用 户 密码 ， 及 
时 删除 多 余 的 、 过 期 的 用 户 及 调试 用 户 。 

5) 严格 控制 操作 系统 重要 目录 及 文件 的 访问 权限 。 

(3) 安全 审计 

1) 审计 范围 应 覆盖 到 服务 器 和 管理 终端 上 的 每 个 操作 系统 用 户 和 数据 库 用 户 。 

2) 审计 内 容 应 包括 重要 用 户 行为 、 系 统 资源 的 异常 使 用 和 重要 信息 系统 命令 的 使 
用 、 账 号 的 创建 分 配 与 变更 、 审 计策 略 的 调整 、 审 计 系统 功能 的 关闭 与 启动 等 系统 内 重 
要 的 安全 相关 事件 。 

3) 审计 记录 包括 时 间 、 类 型 、 访 问 者 标识 、 访 问 对 象 标识 和 事件 结果 ， 保 存 时 间 
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不 少 于 半年 。 

4) 应 根据 记录 数据 进行 安全 分 析 ， 生 成 审计 报表 ， 并 及 时 备份 到 集中 的 日 志 服 务 
器 上 或 难以 更 改 的 介质 上 。 

5) 应 保护 审计 进程 ， 避 免 受到 未 预期 的 中 断 。 

6) 应 保护 审计 记录 ， 避 免 遭 受 未 授权 的 删除 、 修 改 或 覆盖 ， 

<> 只 人 允许 具有 工作 需要 的 人 员 查看 。 

<> 使 用 文件 完整 性 监视 和 变更 检测 软件 保护 日 志 ， 确 保 已 有 的 日 志 被 改变 时 产生 
报警 。 

<> 每 天 复审 所 有 系统 的 日 志 。 

(4) 入 侵 防 范 

1) 应 能 够 检测 到 对 重要 服务 器 进行 入 侵 的 行为 ， 包 括 但 不 限于 主机 运行 监视 、 特 
定 进程 监控 、 入 侵 行 为 监测 和 完整 性 检测 等 ， 能 够 记录 入 侵 的 源 他、 攻击 的 类 型 、 攻 
击 的 目的 、 攻 击 的 时 间 ， 并 在 发 生 严重 入 侵 事 件 时 进行 报警 。 

2) 应 能 够 对 重要 程序 的 完整 性 进行 检测 ， 并 在 检测 到 完整 性 受到 破坏 后 具有 恢复 
的 措施 或 在 检测 到 完整 性 即将 受到 破坏 时 进行 事前 阻 断 。 

3) 操作 系统 应 遵循 最 小 安装 的 原则 ， 仪 安装 需要 的 组 件 和 应 用 程序 , 禁用 所 有 不 
必要 和 不 安全 的 服务 和 协议 ， 移 除 所 有 不 必要 的 功能 。 

4) 应 及 时 对 主要 服务 器 进行 补丁 升级 。 

5) 应 严格 限制 下 载 和 使 用 免费 软件 或 共享 软件 ， 确 保 服务 器 系 统 安装 的 软件 来 源 
可 靠 ， 且 在 使 用 前 进行 测试 。 

(5) 恶意 代码 防范 

1) 应 安装 国家 安全 部 门 认 证 的 正版 防 恶 意 代 人 码 软 件 。 对 于 依附 于 病毒 库 进 行 恶 意 
代码 查 杀 的 软件 ， 应 及 时 更 新 防 恶意 代码 软件 版 本 和 恶意 代码 库 ; 对 于 非 依赖 于 病毒 库 
进行 恶意 代码 防御 的 软件 ， 如 主动 防御 类 软件 ， 应 保证 软件 所 采用 特征 库 的 有 效 性 与 实 
时 性 ;对 于 某 些 不 能 安装 相应 软件 的 系统 ， 可 以 采取 其 他 安全 防护 措施 来 保证 系统 不 被 
恶意 代码 攻击 。 

2) 主机 防 恶意 代码 产品 应 具有 与 网 络 防 恶 意 代 码 产品 不 同 的 恶意 代码 库 。 

3) 应 支持 防 恶意 代码 工具 的 统一 管理 。 

4) 应 建立 病毒 监控 中 心 ， 对 网 络 内 计算 机 感染 病毒 的 情况 进行 监控 。 

(6) 资源 控制 

1) 应 通过 设 定 终端 接 入 方式、 网 络 地 址 范围 等 条 件 限 制 终端 登录 ， 如 部 署 堡垒 机 
统一 管理 终端 接 入 。 

2) 应 根据 安全 策略 设置 登录 终端 的 操作 超时 锁定 ， 超 时 时 间 应 小 于 15 分 钟 。 

3) 应 对 重要 服务 器 进行 监视 ,包括 监视 服务 器 的 CPU、 硬 盘 、 内 存 、 网 络 等 资源 
的 使 用 情况 ， 并 提供 资源 使 用 异常 情况 下 的 报警 功能 。 

4) 应 设 定单 个 用 户 对 系统 资源 的 最 大 或 最 小 使 用 限度 。 

5) 应 定期 对 系统 的 性 能 和 容量 进行 规划 ， 能 够 在 系统 的 服务 水 平 降低 到 预先 规定 
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的 最 小 值 时 进行 检测 和 报警 。 

6) 所 有 的 服务 器 应 全 部 专用 化 ， 不 使 用 服务 器 进行 收取 邮件 、 浏 览 互联 网 等 客户 
端 操作 。 

2. 增强 要 求 

1) 应 保证 操作 系统 和 数据 库 系 统 用 户 的 鉴别 信息 所 在 的 存储 空间 ， 被 释放 或 再 分 
配给 其 他 用 户 前 得 到 完全 清除 ， 无 论 这 些 信息 是 存放 在 硬盘 上 还 是 在 内 存 中 。 

2) 应 确保 系统 内 的 文件 、 目 录 和 数据 库 记 录 等 资源 所 在 的 存储 空间 ， 被 释放 或 重 
新 分 配给 其 他 用 户 前 得 到 完全 清除 。 

3) 应 对 重要 信息 资源 设置 敏感 标记 。 

4) 应 依据 安全 策略 严格 控制 用 户 对 有 敏感 标记 的 重要 信息 资源 的 操作 。 


16.3 操作 系统 安全 机 制 


操作 系统 是 安装 在 计算 机 等 设备 上 ， 用 来 控制 其 他 程序 运行 ， 管 理 系统 资源 并 为 用 
户 提 供 操作 界面 的 系统 软件 的 集合 ， 是 连接 计算 机 硬件 与 上 层 软 件 和 用 户 之 间 的 桥梁 。 
操作 系统 安全 是 主机 安全 的 基础 ， 主 要 通过 以 下 机 人 制 实现 : 

1) 标识 与 鉴别 : 用 户 身 份 合 法 性 鉴别 、 操 作 系统 登录 等 。 

2) 访问 控制 : 防止 对 资源 的 非法 使 用 、 限 制 访问 主体 对 访问 客体 的 访问 权 
限 、DAC&MAC&RBAC。 

3) 最 小 特权 管理 : 限制、 分 割 用 户 及 进程 对 系统 资源 的 访问 权限 ;“ 必 不 可 少 的 ” 
权限 。 

以 上 机 制 ， 归 根 结 底 要 依靠 操作 系统 的 安全 配置 来 实现 。 


16.3.1 标识 与 鉴别 


标识 与 鉴别 的 主要 作用 是 控制 外 界 对 于 系统 的 访问 。 其 中 标识 指 的 是 系统 分 配 、 提 
供 的 唯一 的 用 户 ID 作为 标识 ， 鉴 别 则 是 系统 要 验证 用 户 的 身份 ,一 般 多 使 用 口令 来 实 
现 。 一旦 系统 验证 了 用 户 身份 ， 就 要 开始 赋予 用 户 唯 一 标识 的 用 户 ID、 组 ID ， 还 要 检 
查 用 户 申请 的 安全 级 、 计 算 特 权 集 、 审 计 屏 蔽 码 ; 赋予 用 户 进程 安全 级 、 特 权 集 标识 和 
审计 屏蔽 码 。 系 统 负 责 检查 用 户 的 安全 级 应 在 其 定义 时 规定 的 安全 级 之 内 ， 否 则 系统 拒 
绝 用 户 的 本 次 登录 。 


16.3.2 访问 控制 


1. 访问 控制 的 基本 概念 
访问 控制 (Access Control) 指 系 统 对 用 户 身 份 及 其 所 属 的 预先 定义 的 策略 组 限制 
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其 使 用 数据 资源 能 力 的 手段 。 通 常用 于 系统 管理 员 控 制 用 户 对 服务 器 、 目 录 、 文 件 等 网 
络 资源 的 访问 。 

访问 控制 的 主要 目的 是 限制 访问 主体 对 客体 的 访问 ， 从 而 保障 数据 资源 在 合法 范围 
内 得 以 有 效 使 用 和 管理 。 

访问 控制 包括 3 个 要 素 (图 16-1): 

1) 主体 (Subject，S) : 是 指 提出 访问 资源 的 具体 请 求 的 实体 。 

2) 客体 (Object，0) : 是 指 被 访问 资源 的 实体 。 

3) 访问 控制 策略 (Attribution，A )。 

提交 访问 提出 访问 


访问 控制 
决策 


图 16-1 访问 控制 


2. 访问 控制 模型 

访问 控制 的 主要 功能 包括 : 保证 合法 用 户 访问 授权 保护 的 网 络 资源 ， 防 止 非法 的 主 
体 进入 受 保护 的 网 络 资源 ， 或 防止 合法 用 户 对 受 保护 的 网 络 资源 进行 非 授 权 的 访问 。 访 
问 控制 的 内 容 包 括 认证 、 控 制 策 略 实现 和 安全 审计 。 

访问 控制 模型 是 对 上 述 一 系列 访问 控制 规则 集合 的 描述 ， 可 以 是 非 形式 化 的 ， 也 可 
以 是 形式 化 的 。 和 常用 的 访问 控制 模型 包括 自主 访问 控制 、 强 制 访问 控制 和 基于 角色 的 访 


问 控制 ， 如 图 16-2 所 示 。 
访问 控制 列表 
(ACL) 
访问 能 力 列表 
(Access Capacity List) 


是 | Bel-rapudura 醒 型 | 
访问 控制 模型 强制 访问 控制 模型 iba 模 型 
二 Bw |] 


司 访问 矩阵 模型 


性 
十 cencwisok 弄 | 
混合 策 | Chinese Wall 模 型 ”| 
J Chinese Wall 模 型 


J 
基于 角色 访问 控制 模型 
(RBAC) 


图 16-2 常见 的 访问 控制 模型 


3. 自主 访问 控制 

“自主 ”主要 体现 在 客体 (访问 的 对 象 ) 的 所 有 者 有 权 指 定 其 他 主体 对 该 客体 的 访 
问 权限 ， 这 里 的 所 有 者 也 可 以 是 专门 具有 授予 权限 的 主体 ， 将 权限 的 子 集 授予 其 他 
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主体 。 
访问 控制 矩阵 (Access Control Matrix) 是 实现 自主 访问 控制 机 制 的 概念 模型 ， 以 二 维 矩 
阵 规 定 主体 和 客体 间 的 访问 权限 。 访 问 控制 实现 方法 包括 : 访问 控制 列表 (Access Control 
List，ACL) 和 访问 能 力 列 表 (Access Capacity List) 。 表 16-1 展示 了 一 个 基本 的 访问 控制 矩 
阵 : 主体 S1 对 客体 01、02、03 具有 Read 权限 ， 还 对 01 具有 Write 权限 ; 主体 S2 对 客体 
02 具有 Write 权限 ; 主体 S3 对 客体 01 具有 Execute 权限 ， 对 客体 03 具有 Read 权限 。 
表 16-1 访问 控制 矩阵 


主体 0 
O1 02 03 
Sl Read/ Write Read Read 
S2 Write 
S3 Execute Read 


从 表 中 可 以 看 到 ， 任 何 访问 控制 策略 最 终 均 可 被 模型 化 为 访问 矩阵 形式 。 在 访问 控 
制 矩 阵 中 行 对 应 于 主体 ， 列 对 应 于 客体 ， 每 个 和 矩阵 元 素 规 定 了 相应 的 主体 对 应 于 相应 的 
客体 被 准予 的 访问 许可 或 实施 行为 。 

在 具体 实现 上 ， 访 问 控制 矩阵 主要 采用 以 下 2 种 方法 。 

(1) 访问 控制 列表 访问 控制 列表 被 定义 为 一 个 表 ， 它 标识 计算 机 操作 系统 上 的 
每 个 用 户 拥有 一 个 特定 的 系统 对 象 的 访问 权限 ， 如 文件 目录 或 单个 文件 的 。 每 个 对 象 都 
有 标识 其 访问 控制 列表 中 的 安全 属性 。 该 列表 具有 每 个 系统 用 户 的 访问 权限 条 目 。 最 常 
见 的 权限 包括 读 取 一 个 文件 或 目录 中 的 所 有 文件 的 能 力 、 写 入 到 一 个 或 多 个 文件 和 执行 
该 文件 (如 果 它 是 一 个 可 执行 文件 或 程序 ) 的 能 力 ， 每 个 操作 系统 访问 控制 列表 的 实 
现 是 不 同 的 。 比 如 在 Windows 中 ，ACL 与 每 个 系统 对 象 息息相关 ， 每 个 ACL 具有 一 个 
或 多 个 访问 控制 条 目 ， 每 个 ACL 包括 一 个 用 户 或 一 组 用 户 的 名 称 ， 用 户 也 可 以 是 一 个 
角色 的 名 字 ， 如 程序 员 或 测试 人 员 。 对 于 每 个 用 户 、 组 或 角色 ， 访 问 权 限 均 以 比特 串 表 
示 ， 称 为 访问 掩 码 。 一 般 情况 下 ， 系 统管 理 员 或 对 象 所 有 者 为 一 个 对 象 创建 访问 控制 
列表 。 

访问 控制 列表 的 特点 是 : 访问 控制 矩阵 按 列 索引 ， 标 识 出 每 个 客体 可 以 被 访问 的 主 
体 及 权限 ， 具 体 参 见 图 16-3。 


图 16-3 访问 控制 列表 


(2) 访问 能 力 列表 访问 能 力 列 表 是 以 用 户 为 中 心 建立 的 访问 权限 表 。 与 ACL 不 
同 ， 表 中 规定 了 该 用 户 可 访问 的 文件 名 及 权限 ， 利 用 此 表 可 方便 地 查询 一 个 主体 的 所 有 
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授权 。 检 索 具 有 授权 访问 特定 客体 的 所 有 主体 ， 则 需 查 遍 所 有 主体 的 访问 能 力 列表 。 
访问 控制 列表 的 特点 是 : 访问 控制 矩阵 按 行 索引 ， 标 识 出 每 个 主体 可 访问 的 客体 及 
权限 ， 具 体 参 见 图 16-4。 


图 16-4 访问 能 力 表 


4. 强制 访问 控制 

“强制 ”体现 在 每 个 进程 、 文 件 、IPC 客体 都 被 Administrator 或 0S 赋予 了 不 可 改变 
的 安全 属性 ， 这 些 安全 属性 不 能 再 由 用 户 自己 进行 修改 ， 实 际 应 用 中 常常 将 二 者 结合 起 
来 使 用 。 用 户 使 用 自主 防止 控制 防止 其 他 用 户 非 法 入 侵 自 己 的 文件 ， 强 制 访问 控制 则 作 
为 更 有 力 的 安全 保护 方式 ， 使 用 户 不 能 通过 意外 事件 和 有 意识 的 误 操作 来 逃避 安全 
控制 。 

强制 访问 控制 (MAC) 是 系统 强制 主体 服从 访问 控制 策略 ， 是 由 系统 对 用 户 所 创 
建 的 对 象 ， 按 照 规 则 控制 用 户 权 限 及 操作 对 象 的 访问 。 主 要 特征 是 对 所 有 主体 及 其 所 控 
制 的 进程 、 文 件 、 段 、 设 备 等 客体 实施 强制 访问 控制 。 

MAC 的 安全 级 别 常用 的 为 4 级 : 绝密 级 (T)、 秘 密级 (S)、 机 密级 (C) 和 无 级 
别 级 (U)， 其 中 T>S >C > U。 系 统 中 的 主体 ( 用户， 进程) 和 客体 (文件 ， 数 据 ) 
都 分 配 安全 标签 ， 以 标识 安全 等 级 。 

基于 强制 的 访问 控制 ， 存 在 不 同 的 安全 模型 。 

(1) 机 密 性 安全 模型 一 一 BLP 模型 ”BLP 模型 是 由 D. Flliott Bell 和 Leonard 
J. LaPadula 于 1973 年 提出 的 一 种 适用 于 军事 安全 策略 的 计算 机 操作 系统 安全 模型 ， 它 
是 最 早 、 也 是 最 常用 的 计算 机 多 级 安全 模型 之 一 。BLP 将 主体 定义 为 能 够 发 起 行为 的 实 
体 ， 如 进程 ;将 客体 定义 为 被 动 的 主体 行为 承担 者 ， 如 数据 、 文 件 等 ; 将 主体 对 客体 的 
访问 分 为 rz 一 只 读 、w 一 读 写 、a 一 只 写 、e 一 执行 与 c 一 控制 等 访问 模式 ， 其 中 c 一 控制 
是 用 来 描述 该 主体 用 来 授予 或 者 撤销 另 一 主体 对 某 一 个 客体 的 访问 权限 的 能 力 。BLP 的 
安全 策略 包括 两 个 部 分 ， 自 主 安全 策略 和 强制 安全 策略 。 自 主 安全 策略 借助 访问 矩阵 实 
现 ， 强 制 安全 策略 包括 简单 安全 特性 和 * 特性 ， 系 统 对 所 有 的 主体 和 客体 都 分 配 一 个 访 
问 类 属性 ， 包 括 密级 和 范畴 ， 系 统 通过 比较 主体 和 客体 的 访问 类 属性 来 控制 主体 对 客体 
的 访问 。 

(2) 完整 性 安全 模型 Biba 模型 ”BLP 模型 注重 了 机 密 性 ， 但 是 忽略 了 完整 性 
保护 ， 于 是 后 人 对 BLP 模型 进行 了 一 些 改进 。1977 年 Biba 等 人 提出 了 第 一 个 完整 性 安 
全 模型 一 一 Biba 模型 ， 主 要 应 用 类 似 BLP 模型 的 规则 来 保护 信息 的 完整 性 。Biba 模型 
提出 的 不 是 一 个 唯一 的 安全 策略 ， 而 是 一 个 安全 策略 系列 。 比 如 非 自 主 安全 策略 里 的 对 
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于 主体 /客体 的 下 限 标记 策略 ， 使 得 主体 、 客 体 的 完整 级 别 动态 变化 ; 自主 安全 策略 里 
的 ACL 和 环 机 制 等 。 

Biba 模型 的 优势 在 于 其 简单 性 及 与 BLP 模型 相 结合 的 可 能 性 。 简 单 性 体现 在 Biba 
的 严格 完整 性 策略 是 BLP 机 蜜 性 策略 的 对 偶 ， 所 以 它 的 实现 是 直观 和 易于 理解 的 ; 基 
于 Biba 和 BLP 的 相似 性 ， 二 者 有 可 能 结合 产生 集 机 密 性 与 完整 性 于 一 身 的 安全 模型 。 
日 是 其 不 足 是 : 

1) 完整 性 标签 确定 的 困难 性 。 

2) Biba 模型 最 主要 的 完整 性 目的 是 保护 数据 免 受 非 授权 用 户 的 恶意 修改 ， 同 时 
其 认为 内 部 完整 性 威胁 应 该 通过 程序 验证 来 解决 ， 但 是 在 模型 中 并 没有 包括 这 个 
要 求 。 

3) Biba 和 BLP 模型 的 结合 看 似 容 易 ， 实 则 困难 ， 而 且 即 使 结合 之 后 ， 也 无 法 抵御 
病毒 攻击 。 

(3) 完整 性 安全 模型 一 一 Clark- Wilson (CW) 完整 性 模型 1987 年 David Clark 
和 David wilson 提出 的 完整 性 模型 具有 里 程 碑 意义 ， 它 是 完整 意义 上 的 完整 性 目标 、 策 
略 和 机 制 的 起 源 。 为 了 体现 用 户 完整 性 ，CW 模型 提出 了 职责 隔离 目标 ;为 了 保证 数据 
完整 性 ，CW 模型 提出 了 应 用 相关 的 完整 性 验证 进程 ; 为 了 建立 过 程 完整 性 ，CW 模型 
定义 了 对 于 转换 过 程 的 应 用 相关 验证 ; 为 了 约束 用 户 、 进 程 和 数据 之 间 的 关系 ，CW 模 
型 使 用 了 三 元 组 结构 。 

CW 模型 的 核心 在 于 以 恨 构 事务 (Well-formal Transaction) 为 基础 实现 在 商务 环境 
中 所 需 的 完整 性 策略 。 良 构 事 务 是 指 一 个 用 户 不 能 任意 操纵 数据 ， 只 能 用 一 种 能 够 确保 
数据 完整 性 的 受 控 方 式 来 操作 数据 。 为 了 确保 数据 项 仅仅 能 被 良 构 事务 操作 ， 首 先 得 确 
认 一 个 数据 项 仅仅 能 被 一 组 特定 的 程序 来 操作 ， 而 这 些 程序 是 经 过 验证 特殊 构造 ， 并 且 
被 正确 安装 的 。 

(4) 多 策略 安全 模型 一 一 中 国 墙 ( Chinese Wall) 模型 1988 年 ，Brewer 和 Nash 
根据 现实 的 商业 策略 提出 了 中 国 墙 模型 ， 该 模型 试图 解决 的 问题 是 : 为 了 保护 相互 竞争 
的 客户 ， 咨 询 公 司 需 要 在 代理 间 建 立 密 不 可 透 的 “ 墙 ， 比 如 分 析 员 面 对 客 户 银行 A、 
石油 公司 A、 石 油 公 司 B, 一 旦 分 析 员 访问 了 石油 公司 A (或 B) ， 则 都 不 能 再 访问 石 
油 公司 B (或 A)， 因 为 A 和 B 处 于 竞争 关系 ， 因 而 用 户 只 能 访问 其 中 之 一 ; 初始 之 时 
用 户 可 以 随意 访问 任意 一 个 客体 ， 但 是 一 旦 访问 过 一 个 客体 ， 就 不 能 再 访问 与 该 客体 有 
竞争 关系 的 其 他 客体 ， 或 者 叫 不 能 访问 其 利益 冲突 类 。 这 里 体现 了 自由 选择 和 强制 控制 
的 微妙 组 合 。 

5. 基于 角色 的 访问 控制 

基于 角色 的 访问 控制 (RBAC) 模型 在 用 户 和 访问 权限 之 间 引 入 了 角色 的 概念 ， 它 
的 基本 特征 是 根据 安全 策略 划分 角色 ， 对 每 个 角色 分 配 操作 许可 ; 为 用 户 指派 角色 ， 用 
户 通过 角色 间接 地 对 信息 资源 进行 访问 (图 16-5)。 

在 RBAC 模型 中 权限 与 角色 相关 联 ， 用 户 通 过 取得 适当 的 角色 从 而 获得 合适 的 权 
限 。 这 可 以 有 效 地 简化 权限 管理 。 在 新 的 应 用 中 同一 角色 可 以 授予 新 的 权限 ， 当 需要 时 
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激活 “CS> 
角色 / i 


图 16-5 基于 角色 的 访问 控 币 


应 用 权限 可 以 从 角色 上 被 撤销 ， 而 无 须 修改 用 户 的 角色 ， 同 样 可 修改 用 户 的 角色 ， 使 其 
具有 复杂 的 权限 ， 而 不 需要 修改 角色 权限 。 

角色 是 一 定数 量 的 权限 的 集合 ， 即 完成 一 项 任务 必须 访问 的 资源 及 相应 操作 权限 的 
集合 。 角 色 作 为 一 个 用 户 与 权限 的 代理 层 ， 表 示 为 权限 和 用 户 的 关系 ， 所 有 的 授权 应 该 
给 予 角色 而 不 是 直接 给 用 户 或 用 户 组 。 

基于 角色 的 访问 控制 是 通过 对 角色 的 访问 所 进行 的 控制 ， 它 使 权限 与 角色 相关 联 ， 
用 户 通 过 成 为 适当 角色 的 成 员 而 得 到 其 角色 的 权限 ， 可 极 大 地 简化 权限 管理 。 

RBAC 模型 的 授权 管理 方法 ， 主 要 有 3 种 : 

<> 根据 任务 需要 定义 具体 不 同 的 角色 。 

<> 为 不 同 角 色 分 配 资源 和 操作 权限 。 

<> 给 一 个 用 户 组 (Group ， 权 限 分 配 的 单位 与 载体 ) 指定 一 个 角色 。 

RBAC 支持 3 个 著名 的 安全 原则 : 最 小 权限 原则 、 责 任 分 离 原 则 和 数据 抽象 原则 。 


一 


16.3.3 最 小 特权 原则 


最 小 特权 原则 是 系统 安全 中 最 基本 的 原则 之 一 。 所 谓 最 小 特权 (Least Privilege ) ， 
指 的 是 在 完成 某 种 操作 时 所 赋予 系统 中 每 个 主体 〈 用 户 或 进程 ) 必 不 可 少 的 特权 。 

最 小 特权 原则 一 方面 给 予 主体 “ 必 不 可 少 ” 的 特权 ， 这 就 保证 了 所 有 的 主体 都 能 
在 所 赋予 的 特权 之 下 完成 所 需要 完成 的 任务 或 操作 ; 另 一 方面 ， 它 只 给 予 主体 “ 必 不 
可 少 ”的 特权 ， 这 就 限制 了 每 个 主体 所 能 进行 的 操作 。 

最 小 特权 原则 要 求 每 个 用 户 和 程序 在 操作 时 应 当 使 用 尽 可 能 少 的 特权 ， 而 角色 多 
许 主体 以 参与 某 特定 工作 所 需要 的 最 小 特权 去 签 人 (Sign) 系统 。 被 授权 拥有 强力 角 
色 (Powerful Roles) 的 主体 ， 不 需要 动 转运 用 到 其 所 有 的 特权 ， 只 有 在 那些 特权 有 
实际 需求 时 ， 主 体 才 去 运用 它们 。 如 此 一 来 ， 将 可 减少 由 于 不 注意 的 错误 或 是 侵入 
者 伪装 为 合法 主体 所 造成 的 损坏 发 生 ， 限 制 了 7 事故、 错误 或 攻击 带 来 的 危害 。 它 还 
减少 了 特权 程序 之 间 潜 在 的 相互 作用 ， 从 而 使 对 特权 无 意 的 、 没 必要 的 或 不 适当 的 
使 用 不 太 可 能 发 生 。 这 种 想法 还 可 以 引申 到 程序 内 部 : 只 有 程序 中 需要 那些 特权 的 
最 小 部 分 才 拥有 特权 。 

最 小 特权 在 安全 操作 系统 中 占据 了 非常 重要 的 地 位 ， 依 据 “ 最 小 特权 ”原则 对 系 
统管 理 员 的 特权 进行 分 化 ， 每 个 用 户 只 能 拥有 刚 够 完成 工作 的 最 小 权限 。 然 后 根据 系统 
管理 任务 设立 角色 ， 依 据 角色 划分 权限 ， 每 个 角色 各 负 其 南 ， 权 限 各 自分 立 ， 一 个 管理 
角色 不 拥有 另 一 个 管理 角色 的 特权 。 如 当 和 人 侵 者 取得 系统 管理 员 权限 后 欲 访问 一 个 高 安 
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全 级 别 的 文件 ， 则 很 有 可 能 被 拒绝 。 因 为 用 户 (包括 系统 管理 员 ) 在 登录 后 默认 的 安 
全 级 别 是 最 低 的 ， 他 无 法 访问 高 级 别 的 文件 ， 而 安全 级 别 的 调整 只 有 通过 安全 管理 员 才 
能 完成 。 因 此 ， 安 全 管理 员 只 要 对 敏感 文件 配置 了 合理 的 安全 标记 ， 系 统管 理 员 就 无 法 
访问 这 些 文件 。 由 此 可 知 ， 最 小 特权 对 系统 不 同 角 色 的 权限 进行 了 有 力 的 限制 。 


16.4 ”操作 系统 安全 加 固 


考虑 到 操作 系统 结构 体系 本 身 的 固有 缺陷 ， 功 能 多 样 性 所 带 来 的 风险 及 守护 进程 与 
门 存在 的 可 利用 漏洞 ， 操 作 系统 安全 加 固 需要 针对 不 同方 面 的 不 同 特 点 进行 专项 配置 
理 。 

1) 操作 系统 结构 体系 的 缺陷 。 操 作 系统 本 身 有 内 存 管理 、CPU 管理 、 外 设 的 管 
理 ， 每 个 管理 都 涉及 一 些 模块 或 程序 ， 如 果 这 些 程序 里 面 存 在 问题 ， 比 如 内 存 管理 的 问 
题 ， 外 部 网 络 的 一 个 连接 过 来 ， 刚 好 连接 一 个 有 缺陷 的 模块 ， 可 能 出 现 的 情况 是 ， 计 算 
机 系统 会 因此 前 省。 所 以 ， 有 些 黑客 往往 是 针对 操作 系统 的 不 完善 进行 攻击 ， 使 计算 机 
系统 ， 特 别 是 服务 带 系 统 立刻 竣 疾 。 

2) 操作 系统 支持 在 网 络 上 传送 文件 、 加 载 或 安装 程序 ， 包 括 可 执行 文件 ， 这 些 功 
能 也 会 带 来 不 安全 因素 。 网 络 的 一 个 很 重要 的 功能 就 是 文件 传输 功能 ， 比 如 FTP， 这 些 
安装 程序 经 常会 带 一 些 可 执行 文件 ， 而 这 些 可 执行 文件 都 是 人 为 编写 的 程序 ， 如 果 某 个 
地 方 出 现 漏洞 ， 那 么 系统 可 能 就 会 造成 朋 泪 。 像 远程 调用 、 文 件 传输 ， 如 果 生 产 厂 家 或 
个 人 在 上 面 安装 “ 间 读 ”程序 ， 那 么 用 户 的 整个 传输 过 程 、 使 用 过 程 都 会 被 别人 监视 
到 ， 所 有 的 这 些 传输 文件 、 加 载 的 程序 、 安 闭 的 程序 、 执 行文 件 ， 都 可 能 给 操作 系统 带 
来 安全 的 隐患 。 所 以 ,建议 尽量 少 使 用 一 些 来 历 不 明 , 或 者 无 法 证 明 它 的 安全 性 的 
软件 。 

3) 操作 系统 不 安全 的 一 个 原因 在 于 它 可 以 创建 进程 ,支持 进程 的 远程 创建 和 激 
活 ， 支 持 被 创建 的 进程 继承 创建 的 权利 ， 这 些 机 制 提供 了 在 远 端 服务 器 上 安装 “间谍 ” 
软件 的 条 件 。 若 将 “间谍 ”软件 以 打 补 丁 的 方式 “ 打 ” 在 一 个 合法 用 户 上 ， 特 别 是 
“ 打 ” 在 一 个 特权 用 户 上 ， 黑 客 或 “间谍 ”软件 就 可 以 使 系统 进程 与 作业 的 监视 程序 监 
测 不 到 它 的 存在 。 不 过 ， 将 传统 root 进行 分 权 可 以 有 效 地 解决 这 个 问题 ， 如 深度 操作 系 
统 使 用 capabi Lities 与 审计 、 系 统 、 安 全 管理 员 三 权 分 立 的 方法 可 以 有 效 降低 特权 进程 
所 造成 的 危害 ， 并 将 其 及 早 发 现 。 

4) 操作 系统 有 些 守护 进程 ， 它 是 系统 的 一 些 进 程 ， 总 是 在 等 待 某 些 事件 的 出 现 ， 
比如 说 用 户 有 没有 按键 盘 或 鼠标 ， 或 者 做 别 的 一 些 处 理 。 一 些 监控 病毒 的 监控 软件 也 是 
守护 进程 ， 这 些 进 程 可 能 是 好 的 ， 比 如 防 病毒 程序 ， 一 有 病毒 出 现 就 会 被 捕捉 到 。 但 是 
有 些 进 程 是 一 些 病毒 ， 一 磁 到 特定 的 情况 ， 比 如 碰 到 7 月 1 日 ， 它 就 会 把 用 户 的 硬盘 格 
式 化 ， 这 些 进 程 就 是 很 危险 的 守护 进程 ， 平 时 它 可 能 不 起 作用 ， 可 是 在 某 些 条 件 发 生 
时 ， 它 才 发 生 作 用 ， 如 果 操 作 系统 有 些 守 护 进 程 被 人 破坏 掉 就 会 出 现 这 种 不 安全 的 
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情况 。 

5) 操作 系统 会 提供 一 些 远程 调用 功能 ， 所 谓 远 程 调用 就 是 一 台 计 算 机 可 以 调用 远 
程 一 个 大 型 服务 器 里 面 的 一 些 程序 ， 可 以 提交 程序 给 远程 的 服务 器 执行 ， 如 telnet。 远 
程 调用 要 经 过 很 多 的 环节 ， 中 间 的 通讯 环节 可 能 会 出 现 被 人 监控 等 安全 问题 。 解 决 此 问 
题 的 方法 之 一 是 采用 非 对 称 加 密 通信 、 最 小 权限 原则 与 纵深 防御 。 在 深度 操作 系统 里 缺 
省 ， 仅 在 非 公 知 端口 开设 了 SSL 安全 登录 ， 而 且 通 过 防火 墙 限制 了 有 效 端 口 ， 并 限制 了 
远程 用 户 的 权限 ， 这 样 可 以 有 效 防御 远程 调用 的 攻击 。 

6) 操作 系统 的 后 门 和 漏洞 。 后 门 程序 是 指 那 些 绕 过 安全 控制 而 获取 对 程序 或 系统 
访问 权 的 程序 方法 。 在 软件 开发 阶段 ， 程 序 员 利 用 软件 的 后 门 程序 得 以 方便 修改 程序 设 
计 中 的 不 足 。 一 旦 后 门 被 黑客 利用 ， 或 在 发 布 软件 前 没有 删除 后 门 程序 ， 容 易 被 黑客 当 
成 漏洞 进行 攻击 ， 造 成 信息 泄密 和 丢失 。 此 外 ， 操 作 系统 的 无 口令 的 和 人口 ， 也 是 信息 安 
全 的 一 大 隐患 。 

7) 尽管 操作 系统 的 漏洞 可 以 通过 版 本 的 不 断 升级 来 克服 ， 但 是 系统 的 某 一 个 安全 
漏洞 就 会 使 得 系统 的 所 有 安全 控制 毫 无 价值 。 当 发 现 问题 到 升级 这 段 时 间 ， 一 个 小 的 漏 
洞 就 足以 使 整个 网 络 瘫痪 。 


16.5 数据 库 安 全 配置 


随 着 信息 系统 对 数据 库 的 依赖 性 越 来 越 大 ， 拖 库 现 象 (数据 库 中 的 数据 被 闪 
取 ) 频 发 ， 盗 取 数 据 库 的 技术 在 不 断 提升 。 虽 然 数据 库 的 防护 能 力也 在 提升 ， 但 
相 比 攻击 手段 来 说 ， 单 纯 的 数据 库 防 护 还 是 心 有 余 而 力 不 足 。 数 据 库 受到 的 威胁 来 
源 如 下 。 

1. 内 部 人 员 错 误 

数据 库 安全 的 一 个 潜在 风险 就 是 “ 非 故 意 的 授权 用 户 攻击 ”和 内 部 人 员 错误 。 这 
种 安全 事件 类 型 的 最 常见 表现 包括 : 由 于 不 慎 而 造成 意外 删除 或 泄漏 ， 非 故意 的 规避 安 
全 策略 。 在 授权 用 户 无 意 访问 敏感 数据 并 错误 地 修改 或 删除 信息 时 ， 就 会 发 生 第 一 种 风 
险 。 在 用 户 为 了 备份 或 “将 工作 带 回 家 ”而 做 了 非 授权 的 备份 时 ， 就 会 发 生 第 二 种 风 
险 。 虽 然 这 并 不 是 一 种 恶意 行为 但 很 明显 ， 它 违反 了 公司 的 安全 策略 ， 并 会 造成 数据 
存放 到 存储 设备 上 ， 在 该 设备 遭 到 恶意 攻击 时 ， 就 会 导致 非 放 意 的 安全 事件 。 例 如 ， 笔 
记 本 电脑 就 能 造成 这 种 风险 。 

2. 社会 工程 

由 于 攻击 者 使 用 的 高 级 钓鱼 技术 ， 在 合法 用 户 不 知 不 觉 地 将 安全 机 密 提供 给 攻击 者 
时 ， 就 会 发 生 大 量 的 严重 攻击 。 在 这 种 情况 下 ， 用 户 会 通过 一 个 受到 损害 的 网 站 或 通过 
一 个 电子 邮件 响应 将 信息 提供 给 看 似 合法 的 请 求 。 应 当 通知 员工 这 种 非法 的 请 求 ， 并 教 
育 他 们 不 要 做 出 响应 。 此 外 ， 还 可 以 通过 适时 地 检测 可 疑 活动 ， 来 减轻 成 功 的 钓鱼 攻击 
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的 影响 。 数 据 库 活动 监视 和 审计 可 以 使 这 种 攻击 的 影响 最 小 化 。 

3. 内 部 人 员 攻 击 

很 多 数据 库 攻 击 源 自 内 部 。 当 前 的 经 济 环境 和 管理 都 有 可 能 引起 员工 的 不 满 ， 从 而 
导致 内 部 人 员 攻 击 的 增加 。 这 些 内 部 人 员 受 到 贪 欲 或 报复 欲 的 驱使 ， 且 不 受 防火 墙 及 人 
侵 防御 系统 等 的 影响 ， 容 易 给 企业 带 来 风险 。 

4. 错误 配置 

黑客 可 以 使 用 数据 库 的 错误 配置 控制 “ 肉 机 ”访问 点 ， 借 此 绕 过 认证 方法 并 访问 
敏感 信息 。 这 种 配置 缺陷 成 为 攻击 者 借助 特权 提升 发 动 某 些 攻击 的 主要 手段 。 如 果 没 有 
正确 设置 数据 库 的 配置 ， 非 特权 用 户 就 有 可 能 访问 未 加 密 的 文件 ,未 打 补 丁 的 漏洞 就 有 
可 能 导致 非 授权 用 户 访问 敏感 数据 。 

5. 未 打 补 丁 的 漏洞 

如 今 攻 击 已 经 从 公开 的 漏洞 利用 发 展 到 更 精细 的 方法 ， 并 敢于 挑战 传统 的 人 侵 检测 
机 制 。 漏 洞 利 用 的 脚本 在 数据 库 补 丁 发 布 的 几 小 时 内 就 可 以 被 发 到 网 上 ， 当 即 就 可 以 使 
用 的 漏洞 利用 代码 ， 再 加 上 几 十 天 的 补丁 周期 〈 在 多 数 企业 中 如 此 ) ， 实 质 上 几乎 把 数 
据 库 的 大 门 完全 打开 了 。 

6. 高 级 持续 性 威胁 

高 级 持续 性 威胁 ， 是 指 组 织 ( 特别 是 政府 ) 或 者 小 团体 利用 先进 的 攻击 手段 对 特 
定 目标 进行 长 期 持续 性 网 络 攻击 的 攻击 形式 。 其 攻击 的 原理 相对 于 其 他 攻击 形式 更 为 高 
级 和 先进 ， 其 高 级 性 主要 体现 在 发 动 攻击 之 前 需要 对 攻击 对 象 的 业务 流程 和 目标 系统 进 
行 精确 的 收集 ， 在 此 收集 的 过 程 中 ， 此 攻击 会 主动 挖掘 被 攻击 对 象 受信 系统 和 应 用 程序 
的 漏洞 ， 在 这 些 漏 洞 的 基础 上 形成 攻击 者 所 需 的 命令 控制 网 络 。 其 行为 没有 采取 任何 可 
能 触发 警报 或 者 引起 怀疑 的 行动 ， 因 此 更 接近 于 融入 被 攻击 者 的 系统 或 程序 。 鉴 于 数据 
库 攻击 涉及 成 千 上 万 甚至 上 百 万 的 记录 ， 所 以 其 日 益 增 长 和 普遍 。 通 过 锁定 数据 库 漏洞 
并 密切 监视 对 关键 数据 存储 的 访问 ， 数 据 库 的 专家 们 可 以 及 时 发 现 并 阻止 这 些 攻击 。 


16.6 PC 终端 安全 


对 于 银行 业 来 说 ，PC 终端 安全 分 为 两 大 类 ， 一 类 是 内 部 员工 使 用 的 PC 电脑 ， 它 
们 是 内 部 作业 的 终端 ， 其 安全 非常 重要 ; 另 一 类 是 客户 使 用 网 银 时 所 使 用 的 PC 电脑 等 
设备 ， 它 们 的 安全 对 网 银 系统 的 安全 也 非常 重要 ， 下 面 分 别 阐述 。 


16.6.1 内 部 PC 终端 安全 
内 部 PC 终端 也 是 接 入内 部 网 络 中 ， 其 安全 对 整体 的 安全 十 分 重要 。 而 目前 病毒 和 


木马 繁多 ,传播 广泛 ， 对 PC 终端 的 安全 构成 巨大 威胁 ， 因 此 有 必要 采取 相关 技术 来 保 
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证 其 安全 。 

(1) 终端 资产 管理 通过 对 终端 的 资产 注册 和 管理 ， 确 保 终 端的 实名 制 管 理 ， 加 
强 终端 网 络 准 入 的 安全 管控 和 审计 ， 并 可 以 实时 监控 终端 硬件 变化 ， 避 免 硬件 或 外 设 的 
丢失 。 

(2) 终端 防 病 毒 管理 ”通过 统一 的 防 病毒 平台 ,对 全 行 的 终端 实现 统一 的 终端 防 
病毒 ， 以 及 保障 病毒 库 的 实时 更 新 ， 并 实现 全 行 终端 病毒 感染 情况 的 统计 。 

(3) 终端 补丁 管理 通过 补丁 管理 ， 实 现 终端 系统 、 应 用 漏洞 补丁 的 验证 。 多 采 
用 统一 分 发 、 安 装 的 方式 确保 补丁 的 及 时 修复 ， 减 少 终 端 系统 的 脆弱 性 ， 并 通过 报表 展 
示 全 行 终端 的 补丁 修复 率 。 

(4) 终端 桌面 管理 ”通过 终端 桌面 管理 平台 ， 加 强 终端 的 应 用 安全 管理 ， 统 一 地 
对 终端 系统 的 安全 组 策略 、 主 机 名 、 外 设 、 安 装 及 运行 软件 的 黑白 名 单 等 进行 管控 ， 加 
强 终端 运行 环境 的 安全 性 ， 同 时 为 数据 防 泄密 提供 管理 手段 。 

(5) 终端 准 入 管理 ”为 确保 网 络 接 入 终端 的 合法 性 和 安全 性 控制 ,通过 统一 的 终 
端 网 络 准 入 管理 平台 ,对 所 有 入 网 的 终端 统一 采取 终端 使 用 人 员 的 映 份 验证 、 接 入 终端 
资产 合法 性 的 验证 ， 接 入 终端 运行 环境 合法 性 的 验证 等 手段 ， 来 进一步 保障 全 行 网 络 的 
安全 性 和 稳定 性 。 


16. 6.2 客户 PC 终端 安全 


(1) 终端 数据 安全 ”近年 来 ， 病 毒 肆 虐 ， 电 子 渠道 应 确保 客户 端 处 理 的 敏感 信息 
客户 端 与 服务 器 交互 的 重要 信息 的 机 密 性 和 完整 性 ; 应 保证 所 提供 的 客户 端 站 程序 的 真实 
性 和 完整 性 ， 以 及 敏感 程序 逻辑 的 机 密 性 

(2) 终端 程序 安全 客户 端 程序 应 具有 抗 逆 向 分 析 、 抗 反 汇编 等 安全 性 防护 措施 ， 
防范 攻击 者 对 客户 端 程序 的 调试 、 分 析 和 算 改 。 特 别 需 要 注意 规避 各 终端 平台 存在 的 安 
全 漏洞 ， 例 如 ， 按 键 输入 记录 、 自 动 找 屏 机 制 、 文 档 显 示 绥 存 等 。 对 于 移动 平台 ,客户 
端 程序 应 提供 敏感 信息 机 密 性 、 完 整 性 保护 功能 ， 如 采取 随机 布 放 按键 位 置 、 防 范 键 盘 
窃听 技术 、 计 算 MAC 校 验 码 等 措施 。 

(3) 终端 环境 安全 银行 应 采取 有 效 措施 提升 客户 端 环 境 安全 级 别 ， 例 如 ， 在 线 
杀毒 服务 、 安 全 检测 工具 等 ， 并 在 显著 位 置 子 以 提醒 。 当 发 现 客户 端 平台 存在 重大 安全 
缺陷 或 安全 威胁 时 ， 应 在 门户 站 点 发 布 警示 通知 ， 并 通过 短信 、 邮 件 等 方式 警示 客户 。 
当 威胁 建 模 成 熟 时 ， 可 选择 使 用 主动 防御 ， 即 通过 规则 判断 程序 或 服务 的 行为 趋势 。 此 
种 方式 可 有 效 降 低 误 报 ， 并 从 检测 方式 方面 提升 客户 体验 。 


16.7 智能 终端 安全 


随 着 通信 技术 和 移动 互联 网 的 高 速 发 展 ， 移 动 智能 终端 成 为 访问 互联 网 的 主要 方式 
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之 一 。 由 于 移动 智能 终端 的 功能 不 断 强大 和 大 面积 普及 ， 移 动 智能 终端 已 成 为 人 们 日 常 
生活 不 可 或 缺 的 用 品 。 据 IDC 数据 显示 ，2012 年 第 二 季度 ， 中 国 移动 手机 出 货 量 达到 
8700 万 部 ， 其 中 51% 为 智能 手机 。 在 2012 年 全 球 智 能 手机 市 场 中 ， 中 国 市 场 份额 占 比 
达 26.5% ， 美 国 占 17.8% ， 中 国 已 经 超越 美国 成 全 球 最 大 智能 手机 市 场 。 

由 于 移动 智能 终端 本 身 的 开放 性 、 灵 活性 ， 以 及 移动 智能 终端 的 广泛 应 用 ， 给 移动 
用 户 力 至 国家 在 信息 安全 方面 成 极 大 威胁 。 移 动 智能 终端 面临 着 各 种 各 样 的 安全 问题 ， 
如 恶意 软件 可 以 控制 移动 智能 终端 后 台 发 送 短 信 及 后 台 联 网 等 ， 造 成 话费 损失 ;恶意 软 
件 还 可 以 在 用 户 不 知情 的 情况 下 ， 监 听 通 话 、 获 取 用 户 位 置信 息 、 读 取 和 删除 用 户 的 个 
人 数据 等 ， 造 成 用 户 隐私 的 泄露 。 

1. 移动 智能 终端 安全 架构 

移动 智能 终端 安全 架构 以 开放 式 操作 系统 为 核心 ， 这 是 移动 智能 终端 的 重要 特征 。 
移动 智能 终端 的 安全 架构 包括 三 大 层面 : 硬件 层 、 操 作 系统 层 和 应 用 软件 层 。 移 动 智能 
终端 的 安全 架构 是 首先 保证 安全 的 硬件 ， 通 过 安全 的 硬件 绑 定 安全 的 操作 系统 ， 安 全 的 
操作 系统 绑 定安 全 的 应 用 软件 ， 这 样 层 层 绑 定 从 而 实现 移动 智能 终端 整体 的 安全 。 移 动 
智能 终端 通常 有 丰富 的 外 围 接 口 ， 这 些 外 围 接口 在 增强 用 户 体验 的 同时 增加 了 病毒 传播 
的 风险 ， 一 些 攻击 者 会 通过 这 些 外 围 接口 对 移动 智能 终端 进行 攻击 ， 从 而 威胁 移动 智能 
终端 的 安全 。 另 外 随 着 移动 智能 终端 的 智能 化 及 存储 空间 的 不 断 增 大 ， 用 户 的 很 多 重要 
数据 存储 在 终端 中 ， 如 通讯 录 、 短 信 、 日 程 安排 等 ， 终 端 中 的 大 量 隐私 一 旦 遭 到 泄露 ， 
那么 将 对 用 户 造成 很 大 的 危害 ， 因 此 用 户 数据 的 保护 也 是 确保 移动 智能 终端 安全 的 非常 
重要 的 方面 。 

2. 移动 智能 终端 面临 的 威胁 

国内 移动 智能 终端 服务 在 迅速 发 展 的 同时 ， 原 先 在 PC 电脑 中 上 演 的 信息 安全 问题 
也 在 移动 终端 上 再 次 发 生 ， 设 备 制 造 商 、 网 络 服务 商 、 应 用 服务 提供 商 和 最 终 客 户 都 已 
经 意识 到 此 问题 ， 并 且 因 为 移动 智能 设备 的 便利 性 和 时 时 在 线 的 属性 ， 导 致 其 所 面临 的 
言 息 安全 风险 更 为 严重 。 移 动 智 能 终端 本 身 普遍 固有 的 信息 安全 风险 如 下 : 

1) 应 用 与 系统 软件 层 : 应 用 软件 与 数据 层 包 括 在 操作 系统 之 上 运行 的 各 类 应 用 程 
序 、 存 储 和 处 理 的 各 类 数据 信息 。 其 主要 风险 来 自 于 移动 恶意 软件 ， 可 在 用 户 不 知情 或 
未 授权 的 情况 下 自动 安装 、 和 运行， 窃取 或 算 改 终端 敏感 信息 、 恶 意 扣 费 等 ， 同 时 也 能 借 
助 移动 网 络 进行 更 大 范围 的 恶意 传播 。 

2) 操作 系统 层 : 操作 系统 是 智能 终端 上 层 应 用 软件 运行 的 基础 ， 提 供 了 丰富 、 开 
放 的 API 接口， 因此 会 存在 功能 接口 被 非法 滥用 的 安全 风险 ， 这 也 是 导致 恶意 软件 日 益 
增加 的 主要 原因 之 一 。 部 分 终端 操作 系统 自身 隐藏 的 后 门 或 漏洞 使 终端 存在 被 远程 控制 
的 风险 ， 如 Android 可 被 Google 云端 服务 器 远程 控制 。 

3) 硬件 层 : 智能 终端 硬件 层 主要 指 其 物理 器 件 、 芯 片 及 相关 驱动 等 ， 可 能 面临 探 
针 、 电 磁 辐 射 监控 等 物理 攻击 ， 这 些 攻击 通过 硬件 逆向 工程 或 漏洞 破解 加 密 算 法 和 密 钥 
等 方式 窃取 或 筑 改 硬件 中 的 敏感 数据 。 较 典型 的 问题 如 SIM 卡 克隆 ， 目 前 由 于 针对 硬 
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件 层 的 攻击 成 本 较 高 ， 因 此 实际 发 生 的 案例 较 少 。 

3. 移动 智能 终端 安全 对 应 策略 

由 于 移动 智能 终端 的 安全 威胁 可 归结 为 移动 智能 终端 (信和 宿 )、 移 动 应 用 商店 (党 
道 ) 和 第 三 方 应 用 服务 器 ( 信 源 ) 3 个 方面 ， 因 此 应 对 相关 安全 威胁 的 措施 手段 应 主 
要 针对 移动 智能 终端 自身 安全 能 力 、 提 供应 用 软件 下 载 和 销售 的 应 用 商店 及 向 应 用 软件 
提供 升级 和 内 容 服务 的 第 三 方 服务 器 3 个 环节 。 将 这 几 个 关键 环节 的 安全 控制 住 ， 就 能 
极 大 地 提高 移动 智能 终端 的 安全 。 

在 移动 智能 终端 环节 ， 通 过 终端 安全 技术 攻关 、 安 全 标准 引导 及 进 网 管理 规范 提升 
终端 安全 能 力 。 在 终端 安全 技术 攻关 方面 ， 扶 持 国内 操作 系统 、 世 片 等 核心 技术 的 研发 
和 产业 发 展 ， 争 取 对 移动 智能 终端 安全 管理 的 主动 权 和 控制 力 ， 加 大 国家 项 目 中 对 于 移 
动 智能 终端 的 软 硬 件 技术 、 安 全 技术 、 系 统 软件 和 应 用 软件 安全 漏洞 后 门 分 析 及 处 置 技 
术 等 专项 研究 的 力度 ， 扶 持 国 内 企业 构建 自主 可 控 的 移动 智能 终端 安全 技术 能 力 与 产品 
方案 ; 在 安全 标准 引导 方面 ， 系 统 梳理 并 不 断 完善 移动 智能 终端 安全 标准 体系 ， 推 动 相 
关 安 全 标准 的 制定 和 贯彻 实施 ， 并 根据 实施 情况 及 时 完善 标准 ; 在 终端 进 网 管理 环节 ， 
加 强 对 智能 终端 进 网 安全 检测 内 容 及 测试 方法 手段 的 研究 ， 补 充 对 硬件 芯片 及 外 围 接 
口 、 用 户 数据 保护 、 操 作 系统 漏洞 、 操 作 系统 API 调用 、 预 置 应 用 等 关键 环节 的 安全 保 
障 技术 和 管理 措施 要 求 ， 同 时 持续 跟踪 新 出 现 的 移动 智能 终端 ， 如 可 穿戴 设备 等 ， 将 新 
型 终端 及 时 纳入 进 网 检测 。 

在 移动 应 用 商店 环节 ， 积 极 推进 第 三 方 权威 认证 实验 室 建 设 ， 开 展 对 应 用 软件 、 应 
用 商店 和 第 三 方 服务 器 的 第 三 方 权威 安全 监测 和 评估 ， 督 促 企 业 落 实 相 关 安 全 要 求 。 此 
外 还 需 制 定 针对 各 类 应 用 软件 的 安全 技术 标准 ， 加 强 对 应 用 软件 安全 评估 工具 和 方法 的 
研究 ， 保 障 安全 评估 高 效 客观 开展 。 从 软件 研发 源头 提高 软件 质量 和 安全 水 平 ， 在 软件 
研发 、 上 线 、 运 行 的 整个 生命 周期 内 实施 安全 措施 保障 。 对 于 缺乏 应 用 软件 检测 能 力 的 
移动 应 用 商店 经 营 者 ， 可 以 要 求 其 委托 权威 的 第 三 方 终端 软件 测评 认证 机 构 按 照相 关 规 
定 代为 进行 应 用 软件 的 测试 和 认证 。 

在 第 三 方 应 用 服务 器 环节 ， 应 依照 《互联 网 信息 服务 管理 办 法 》 进 一 步 加 强 管理 。 
同时 ， 针 对 境外 移动 应 用 商店 和 新 型 第 三 方 应 用 平台 的 运营 者 ， 要 与 其 进行 积极 沟通 ， 
要 求 其 遵守 国内 的 法 律 法 规 ， 远 期 可 通过 谈判 或 法 律 法 规 等 手段 ， 要 求 其 将 服务 器 搬移 
到 境内 ， 纳 入 国内 法 律 法 规 管理 体系 。 同 时 ， 要 求 基础 电信 运营 企业 加 强 业务 拨 测 、 内 
容 过 滤 等 安全 机 制 ， 并 要 求 IDC/ISP 加 强 业 务 接 入 管理 ， 研 究 实 施 IDCVISP 层面 的 恶意 
代码 和 不 良 内 容 过 滤 技 术 手 段 。 


16.8 案例 介绍 : 银行 移动 智能 终端 安全 


本 案例 介绍 某 股份 制 银行 ] 银行 为 确保 移动 终端 在 企业 内 部 的 安全 所 做 的 工作 。 
随 着 消费 类 电子 设备 的 爆炸 式 增长 ， 移 动 终 端 设 备 (平板 电脑 、 智 能 手机 等 ) 日 
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益 强 大 的 计算 能 力 和 良好 的 用 户 体验 影响 着 企业 员工 的 工作 习惯 和 应 用 体验 。2012 年 ， 
约 有 20% 的 企业 员工 将 自己 的 记 hone 、iPad 或 Android 设备 带 入 工作 场所 ， 处 理工 作 等 
相关 事物 。 然 而 ， 手 机 、 平 板 电脑 等 移动 终端 的 开放 性 容易 引入 各 种 安全 和 管理 风险 。 
移动 终端 使 得 企业 办 公 环 境 边界 进一步 延伸 ， 可 以 在 同一 台 移动 设备 上 处 理工 作 ， 或 在 
App Store 上 下 载 喜 欢 的 游戏 ， 企 业 办 公 和 个 人 事务 瞬息 切换 ， 个 人 和 企业 应 用 的 界限 
越 来 越 模糊 。 对 于 大 多 数 企 业 来 说 ， 简 单 地 阻止 移动 终端 访问 企业 应 用 是 不 可 行 的 ， 年 
轻 的 员工 们 出 生 在 一 个 科技 迅速 普及 的 年 代 ， 他 们 对 各 种 移动 信息 技术 并 不 陌生 ， 迫 切 
希望 自己 供职 的 企业 能 够 为 他 们 提供 移动 终端 支持 ， 员 工 的 需求 驱使 企业 必须 变更 和 适 
应 移动 终端 新 技术 的 变化 。 同 时 ， 开 放 、 智 能 的 移动 平台 使 移动 终端 成 为 新 的 安全 缺 
口 ， 易 引入 恶意 代码 植 人 、 个 人 应 用 和 企业 应 用 混合 、 数 据 泄密 风险 、 多 平台 的 异 构 管 
理 等 问题 ， 这 些 问 题 给 企业 信息 技术 管理 带 来 极 大 挑战 。 

(1) 不 可 信 终 端 接 入 ”在 传统 终端 的 内 外 网 接 入 场景 下 ， 一 般 都 需要 通过 安全 准 
入 检查 ， 才 可 接 入 企业 内 网 。 而 未 实施 有 效 的 认证 和 安全 检查 的 移动 终端 ， 奉 不 加 控 
制 ， 则 可 以 绕 过 限制 ， 直 接 进 入 企业 内 网 ， 使 未 经 授权 或 染 毒 的 终端 接 入 到 企业 内 网 ， 
造成 非法 用 户 的 访问 、 攻 击 或 木马 的 入 侵 ， 从 而 为 内 网 带 来 安全 威胁 。 

(2) 不 可 信和 网 络 传输 ”在 外 网 移动 过 程 中 ,尤其 是 公共 场所 进行 移动 办 公 时 ， 公 
共 WiFi 热点 可 能 存在 AP 伪造 、 欺 骗 、 嗅 探 监 昕 的 风险 ， 黑客 通过 引诱 或 监视 用 户 上 
网 ， 进 行 账号 的 盆 取 或 者 企业 机 密 数 据 的 监听 。 

(3) 不 严密 的 应 用 管控 ”在 企业 业务 移动 化 的 冲击 下 ,信息 安全 制度 落后 于 移动 
业务 的 建设 速度 ， 应 用 未 经 合理 合 规 的 安全 评估 ， 即 向 用 户 开 放 ， 可 能 造成 移动 用 户 具 
有 越权 访问 高 机 密 数 据 的 权限 。 不 合理 的 访问 权限 和 未 实施 的 审计 措施 ， 最 终 导致 泄密 
事件 的 发 生 。 

(4) 非法 的 新 攻击 源 新 的 移动 接 人 方式 可 能 遭受 新 的 攻击 威胁 ， 包 括 来 自 移 动 互 联 
网 的 攻击 和 在 企业 WLAN 发 起 的 攻击 ， 由 于 新 系统 的 脆弱 性 ， 业 务 可 能 遭受 严重 的 干扰 。 

(5) 主动 或 被 动 信息 泄密 ” 当 业 务 开放 给 移动 终端 接 入 时 ， 业 务 系统 中 的 敏感 数 
据 下 载 到 移动 终端 本 地 。 而 移动 终端 的 位 置 不 确定 性 及 高 遗失 率 和 易 交 换 等 特点 ， 使 得 
言 息 扩散 尤为 便利 ， 从 而 导致 泄密 的 概率 大 大 增加 。 

(6) 人 们 期 望 自己 的 装备 能 够 随时 随地 访问 公司 的 数据 资源 开放 这 些 访问 权限 
显然 有 利于 提高 雇员 的 工作 效率 ， 这 与 企业 利益 一 致 ， 但 同时 也 会 带 来 安全 隐患 。 每 个 
企业 都 有 一 个 安全 体系 ， 如 何 扩 展 这 个 安全 体系 的 防护 功能 来 确保 安全 性 和 合法 性 ， 是 
言 息 技 术 安 全 专家 们 面临 的 难题 。 因 此 ， 移 动 设备 管理 MDM (Mobile Device Manage- 
ment) 应 运 而 生 。 目 前 主流 的 移动 终端 操作 系统 都 不 同 程度 地 支持 移动 设备 管理 协议 。 
今天 ， 新 的 MDM 工具 集 可 以 根据 公司 需要 来 精准 管控 这 些 花 样 翻 新 的 移动 设备 ， 控 制 
设备 在 企业 内 的 功能 范围 ， 巩 固 安 全 性 。 据 Nemertes Research 统计 ， 当 前 有 56% 的 公 
司 在 使 用 MDM 系统 ，84% 的 公司 希望 在 2014 年 年 底 之 前 完成 MDM 部 署 。 基 于 此 某 股 
份 制 银行 做 了 创新 式 的 尝试 。 

该 行经 过 对 以 上 风险 的 预测 和 对 多 家 MDM 厂商 的 对 比 ， 认 为 一 个 完善 的 MDM 体 
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系 , 是 基于 生命 周期 的 移动 设备 管理 方案 ， 在 功能 上 为 移动 设备 的 获取 、 部 署 、 运 行 及 
回收 4 个 生命 周期 环节 提供 了 完善 的 MDM 策略 和 手段 ， 确 保 每 个 环节 都 能 顺畅 、 安 全 
地 实施 和 开展 ， 又 兼顾 企业 标 配 机 和 BYOD 设备 的 特点 ， 在 确保 安全 性 的 同时 ， 不 损 
害 用 户 在 使 用 移动 终端 时 的 体验 。 

1) 获取 。 在 移动 设备 人 网 初期 ， 应 遵循 ITIL 资产 管理 标准 ， 支 持 标 配 机 和 移动 终 
端的 资产 发 现 和 注册 ， 并 提供 移动 设备 使 用 承诺 协议 的 自 定义 模板 。 

2) 部 署 。 在 部 署 MDM 时 要 考虑 对 移动 设备 上 的 主机 防火 墙 、VPN 和 WiFi 进行 安 
全 配置 和 策略 下 发 ， 支 持 企 业 安全 策略 的 强制 实施 。 在 部 署 过 程 中 还 要 考虑 对 企业 移动 
App 进行 安全 的 远程 分 发 、 安 装 、 配 置 ; 企业 可 以 根据 用 户 角 色 定 义 App 黑白 名 单 策 
略 ， 保 证 正确 的 人 访问 正确 的 应 用 和 数据 。 

3) 运行 。 运 行 阶段 重点 关注 数据 和 应 用 的 安全 性 。 从 密码 策略 、 越 狱 检测 与 隔 
离 、 外 设 汇 密 通 道 (SIM 卡 /SD 存储 卡 / 摄 像 头 /蓝牙 /WiFiXUSB/ 录 音 ) 的 控制 ， 保 护 
在 移动 终端 上 使 用 的 数据 安全 。 移 动 设备 容易 丢失 ，MDM 方案 应 该 能 够 实现 对 企业 关 
键 数 据 加 密 ， 远 程 锁定 /数据 擦 除 。 在 管理 后 台 ， 信 息 技术 部 门 可 以 审计 查询 所 有 移动 
设备 列表 ， 以 及 相应 的 状态 ， 如 设备 型 号 、 操 作 系 统 类 型 与 版 本 等 ， 并 可 以 输出 资产 审 
计 报 表 。 

4) 回收 。 员 工 离职 或 者 设备 丢失 时 ， 为 了 防止 数据 泄密 ， 信 息 技术 部 门 可 以 对 遗 
留 在 设备 上 的 应 用 进行 种 载 ， 对 数据 进行 擦 除 ， 最 后 注销 此 设备 。 对 于 企业 标 配 设备 ， 
回收 的 设备 可 以 重新 注册 绑 定 ， 并 部 署 安全 策略 和 应 用 ， 移 动 设备 管理 生命 周期 功能 示 
意图 如 图 16-6 所 示 。 


获取 部 署 
。 i “应 用 签名 


。 应 用 部 署 App Store :分 发 、 
安装 、 配 置 


。 安 全 策略 配置 :VPN 、WiFi、 
防火 墙 等 


设备 生命 
周期 


运行 

。 策 略 强制 

。 安 全 监控 : 密码、 加密 .端口 、 
越狱 等 

。 应 用 升级 、 补 丁 管理 


绑 定 
2 软件 过 让 证 前 重 部 署 y 
。IT 服 务 : :自动 Portal、 故障 定 
位 等 


图 16-6 移动 设备 管理 生命 周期 功能 示意 图 
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第 17 草 
应 用 安全 


应 用 安全 是 继 网 络 、 主 机 系统 的 安全 防护 之 后 ， 信 息 系统 整体 防御 的 重要 防线 。 但 
应 用 系统 安全 与 网 络 、 主 机 系统 安全 不 同 ， 应 用 系统 一 般 需 要 根据 业务 流程 、 业 务 需求 
由 用 户 定 制 开 发 。 应 用 系统 安全 的 实现 机 制 更 具有 灵活 性 和 复杂 性 。 

应 用 系统 是 直接 面向 最 终 的 用 户 ， 为 用 户 提供 相关 的 数据 和 处 理 相关 信息 ， 因 此 ， 
它 可 以 提供 更 多 与 信息 保护 相关 的 功能 。 

应 用 安全 要 求 通 过 应 用 系统 、 应 用 平台 系统 等 实现 的 安全 功能 来 满足 。 如 果 应 用 系 
统 是 多 层 结构 的 ， 一 般 不 同 层 的 应 用 都 需要 实现 同样 强度 的 身份 鉴别 ， 访 问 控 制 、 安 全 
审计 、 剩 余 信 息 保护 及 资源 控制 等 ， 但 通信 保密 性 、 完 整 性 一 般 在 同一 个 层面 实现 。 

本 章 针 对 应 用 安全 的 基本 概念 、 通 用 要 求 、 基 于 WEB 的 应 用 安全 等 内 容 进行 了 详 
细 描 述 。 


17.1 应 用 安全 概述 


银行 应 用 安全 的 总 体 目标 是 保障 支撑 银行 业务 各 类 应 用 的 安全 ， 应 用 安全 是 业务 正 
常 运 行 的 关键 。 目 前 ， 银 行业 务 与 外 部 交互 性 越 来 越 高 ， 业 务 越 来 越 复杂 ， 用 来 支撑 业 
务 的 应 用 也 越 来 越 多 ， 应 用 安全 是 银行 业务 安全 的 关键 环节 之 一 。 


17.2 应 用 安全 通用 要 求 


银行 的 应 用 大 多 关系 国计民生 ， 部 分 操作 影响 的 金额 巨大 ， 而 用 户 基数 庞大 。 因 
此 ， 银 行 的 应 用 安全 ， 尤 其 是 网 银 等 重要 业务 ， 使 用 环境 复杂 ， 其 应 用 安全 的 要 求 非 常 
高 。 应 用 安全 的 通用 要 求 包括 身份 鉴别 安全 ， 访 问 控制 安全 ， 安 全 审计 ， 剩 余 信息 保 
护 ， 通 信和 完整 性 、 保 密 性 ， 抗 抵赖 ， 软 件 容 错 及 资源 控制 。 
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其 中 身份 鉴别 ， 访 问 控制 ， 通 信 完 整 性 、 保 密 性 ， 抗 抵赖 ， 对 于 银行 业 的 关键 应 用 
非常 重要 ， 它 们 深度 依赖 密码 技术 和 密码 工具 ， 复 杂 度 很 高 。 同 时 ， 银 行业 务 庞杂 ， 需 
要 身份 鉴别 的 应 用 非常 多 , 例如; 电话 银行 、ATM、POS、 网 银 、3G 互联 网 等 多 种 电 
子 渠道 ， 还 包括 大 量 银行 业务 衍生 的 相关 金融 服务 。 传 统 的 安全 方式 基本 是 各 上 自 为 战 ， 
没有 一 个 统一 的 客户 安全 平台 。 这 种 方式 从 安全 策略 上 来 讲 ， 无 法 实施 统一 的 客户 安全 
策略 ， 容 易 导致 安全 漏洞 。 从 技术 架构 来 说 ,没有 统一 的 技术 架构 ， 安 全 技术 重复 建 
设 。 对 客户 而 言 ， 由 于 没有 统一 的 安全 服务 平台 ,客户 使 用 时 存在 困惑 ， 导 致 客户 体验 
差 。 最 新 的 技术 都 是 将 客户 安全 基础 设施 进行 整合 ， 把 系统 共性 的 安全 要 素 纳入 客户 安 
全 平台 进行 统一 管理 ， 并 对 所 有 电子 渠道 提供 统一 身份 鉴别 服务 的 平台 ， 这 种 平台 在 银 
行 一 般 简 称 安保 平台 。 安 保平 台 是 解决 银行 应 用 身份 鉴别 ,通信 完整 性 、 保 密 性 ， 抗 抵 
赖 等 要 求 的 关键 技术 。 


17.3 ”WEB 应 用 安全 面临 的 主要 威胁 


随 着 信息 化 进程 的 不 断 推进 ， 基 于 B/S 模式 ( 即 浏 览 右 /服务 器 模式 ) 的 网 络 信息 
系统 在 社会 各 个 领域 得 到 了 广泛 的 应 用 。 银 行业 务 系统 也 已 经 从 传统 的 业务 模式 拓展 过 
渡 到 新 兴 的 互联 网 当中 ， 即 WEB 银行 系统 。 据 统计 ， 全 址 界 最 大 的 100 家 银行 中 ， 
20% 已 经 可 以 通过 WEB 站 点 提供 在 线 服 务 ， 银 行 网 点 数量 在 一 年 之 内 增加 了 90% 。 目 
前 网 银 业 务 已 经 占 到 传统 柜台 业务 的 30% 以 上 。 据 中 国 银行 业 协会 统计 ， 截 至 2014 年 
金融 机 构 网 上 银行 个 人 客户 已 达 2.5 亿 户 ， 网 上 银行 企业 客户 达到 1000 多 万 户 并 且 发 
展 潜 力 巨 大 。 

银行 业务 对 WEB 信息 系统 的 依赖 性 不 断 增长 的 同时 ， 在 WEB 信息 系统 上 运作 业 
务 的 风险 和 收益 也 不 断 增 加 ， 使 得 WEB 信息 系统 的 数据 库 中 大 量 数据 的 安全 问题 、 敏 
感 数 据 的 防 窃取 和 防 算 改 问题 成 为 银行 信息 化 管理 组 织 及 WEB 银行 系统 开发 者 们 越 来 
越 关注 的 内 容 。 

根据 国际 国内 信息 安全 组 织 的 统计 及 从 银行 业 信息 安全 实际 来 看 ，WEB 应 用 安全 
面临 的 威胁 主要 包括 以 下 方面 。 

1. 注入 攻击 

注入 攻击 漏洞 ， 如 SQL，0S 以 及 LDAP 注入 。 这 些 攻击 发 生 在 不 可 信 的 数据 作为 
命令 或 者 查询 语句 的 一 部 分 ， 被 发 送 给 解释 器 的 时 候 。 攻 击 者 发 送 的 恶意 数据 可 以 欺骗 
解释 器 ， 以 执行 计划 外 的 命令 或 者 在 未 被 恰当 授权 时 访问 数据 。 

2. 失效 的 身份 认证 和 会 话 管 理 

与 身份 认证 和 会 话 管理 相关 的 应 用 程序 功能 往往 得 不 到 正确 的 实现 ， 这 就 导致 了 攻 
击 者 破坏 密码 、 密 匙 、 会 话 令 牌 或 攻击 其 他 的 漏洞 去 冒充 其 他 用 户 的 身份 。 

3. 跨 站 脚本 (XSS) 

当 应 用 程序 收 到 含有 不 可 信 的 数据 ， 在 没有 进行 适当 的 验证 和 转 义 的 情况 下 ， 就 将 
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它 发 送 给 一 个 网 页 浏览 器 ， 这 就 会 产生 跨 站 脚本 攻击 (简称 XSS) 。XSS 允许 攻击 者 在 
受害 者 的 浏览 右上 执行 脚本 ， 从 而 支持 用 户 会 话 ， 人 危害 网 站 ,或 者 将 用 户 转 问 至 恶意 
网 站 。 

4. 不 安全 的 直接 对 象 引用 

当 开 发 人 员 苔 露 一 个 对 内 部 实现 对 象 的 引用 时 ， 例 如， 一 个 文件 、 目 录 或 者 数据 库 
密 匙 ， 就 会 产生 一 个 不 安全 的 直接 对 象 引用 。 在 没有 访问 控制 检测 或 其 他 保护 时 ， 攻 击 
者 会 操控 这 些 引用 去 访问 未 授权 的 数据 。 

5. 安全 配置 错误 

好 的 安全 需要 对 应 用 程序 、 框 架 、 应 用 程序 服务 器 、WEB 服务 器 、 数 据 库 服务 器 
和 平台 定义 和 执行 安全 配置 。 由 于 许多 设置 的 默认 值 并 不 是 安全 的 ， 因 此 ， 必 须 定义 、 
实施 和 维护 这 些 设置 。 这 包含 了 对 所 有 的 软件 保持 及 时 地 更 新 ， 包 括 所 有 应 用 程序 的 库 
文件 。 

6. 敏感 信息 泄漏 

许多 WEB 应 用 程序 没有 正确 保护 敏感 数据 ， 如 信用 卡 、 税 务 ID 和 身份 验证 凭据 ， 
攻击 者 可 能 会 窃取 或 筑 改 这 些 弱 保护 的 数据 以 进行 信用 卡 诈骗 、 身 份 窃取 ， 或 其 他 犯 
罪 。 敏 感 数据 值 需 额外 的 保护 ， 比 如 在 存放 或 在 传输 过 程 中 的 加 密 ， 以 及 在 与 浏览 絮 交 
换 时 进行 特殊 的 预防 措施 。 

7. 功能 级 访问 控制 缺失 

大 多 数 WEB 应 用 程序 的 功能 在 UI 中 可 见 以 前 ， 会 先 验证 功能 级 别 的 访问 权限 。 但 
是 ， 应 用 程序 需要 在 每 个 功能 被 访问 时 在 服务 器 端 执行 相同 的 访问 控制 检查 。 如 果 请 求 
没有 被 验证 ， 攻 击 者 能 够 伪造 请 求 以 在 未 经 适当 授权 时 具有 访问 功能 。 

8. 跨 站 请 求 伪造 (CSRF ) 

跨 站 请 求 伪造 CSRF， 是 攻击 者 利用 浏览 器 自动 发 送 会 话 Cookie 等 认证 凭证 ， 创 建 
恶意 的 WEB 页 面 来 产生 伪造 用 户 起 发 的 请 求 ， 达 到 攻击 目的 。CSRF 名 称 有 点 类 似 跨 
站 脚本 (XSS) ， 但 攻击 方式 几乎 相左 。XSS 是 利用 站 点 内 的 信任 用 户 ， 而 CSRF 则 通过 
伪装 来 自 受 信任 用 户 的 请 求 来 利用 受信 任 的 网 站 。 

9. 使 用 含有 已 知 漏洞 的 组 件 

组 件 ， 比 如 库 文件 、 框 架 和 其 他 软件 模块 ， 几 乎 总 是 以 全 部 的 权限 运行 。 如 果 一 个 
带 有 漏洞 的 组 件 被 利用 ， 这 种 攻击 可 以 造成 更 为 严重 的 数据 丢失 或 服务 器 接管 。 应 用 程 
序 使 用 带 有 已 知 漏洞 的 组 件 会 破坏 应 用 程序 防御 系统 ， 并 使 一 系列 可 能 的 攻击 和 影响 成 
为 可 能 。 

10. 未 验证 的 重 定向 和 转发 

WEB 应 用 程序 经 常 将 用 户 重 定 向 和 转发 到 其 他 网 页 和 网 站 ， 并 且 利 用 不 可 信 的 数 
据 去 判定 目的 页 面 。 如 果 没 有 得 到 适当 验证 ， 攻 击 者 可 以 重 定 向 受害 用 户 到 钓鱼 软件 或 
恶意 网 站 ,或 者 使 用 转发 去 访问 未 授权 的 页 面 。 
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17.4 WEB 安全 加 固 


随 着 互联 网 技术 的 迅猛 发 展 ， 许 多 用 户 的 关键 业务 越 来 越 多 地 基于 WEB 应 用 ， 在 
通过 浏览 吉方 式 实现 展现 与 交互 的 同时 ， 用 户 的 业务 系统 所 受到 的 威胁 也 随 之 而 来 ， 并 
且 随 着 业务 系统 的 复杂 化 及 互联 网 环境 的 变化 ， 所 受 威胁 也 在 飞速 增长 。 

为 了 应 对 威胁 ，WEB 可 以 通过 图 17-1 所 示 的 4 个 阶段 进行 加 固 。 


网 站 安全 分 析 
加 固 工作 计划 、 人 员 安 排 
\ 计划 阶段 | 
fe 1 
WEB 安 全 扫描 i 
人 工分 析 结 果 ee 
加 识别 阶段 ， 
站 = 和 
评价 风险 .制定 加 固 策略 
代码 层面 加 固 配置 层面 加 固 
木马 后 门 
扫描 ”分 析 清理 
| 加 固 阶段 1 
安全 加 固 报 告 编写 


总 结 阶段 | 


图 17-1 WEB 安全 加 固 流 程 
这 4 个 阶段 往往 会 综合 用 到 以 下 的 5 个 具体 方法 。 

1. WEB 安全 扫描 

安全 检测 工作 分 为 WEB 安全 扫描 、 人 工 系 统 分 析 ， 在 安全 扫描 中 使 用 专业 的 WEB 
安全 扫描 评估 工具 ， 通 过 使 用 工具 进行 自动 扫描 和 后 期 的 人 工整 理 分 析 。 

2. 渗透 性 测试 

渗透 性 测试 采用 人 工 配 合 工 具 进 行 检测 ， 通 过 真实 模拟 黑客 使 用 的 工具 、 分 析 方 法 
来 进行 实际 的 漏洞 发 现 和 利用 ， 最 终 得 到 安全 检测 结果 和 解决 方案 

3. 安全 编码 

对 于 路 站 、 跳 转 、 注 入 这 些 漏洞 ， 大 多 数 都 是 非常 简单 的 不 安全 编码 玻 忽 所 导致 
的 ， 可 以 在 编码 这 个 阶段 通过 使 用 一 些 安 全 编码 实践 来 避免 。 在 这 个 阶段 可 以 提供 
一 些 工 具 的 支持 ， 比 如 静态 代码 分 析 ， 可 以 分 析 一 些 SQL 注入 、 跨 站 脚本 ， 同 时 可 
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以 提供 一 些 脆弱 性 测试 工具 。 在 这 个 阶段 还 要 进行 重审 代码 ， 把 残留 的 不 安全 代码 
清理 掉 。 

4. 配置 层面 加 固 

根据 安全 检测 的 结果 ， 对 WEB 服务 器 相关 配置 进行 调整 ， 如 对 Apache 进行 升级 ， 
设置 合理 的 目录 的 权限 ， 关 闭 不 必要 的 服务 方法 等 。 

S. 木马 后 门 处 理 

对 木马 文件 的 常见 特征 进行 研究 ， 并 使 用 木马 扫描 工具 ， 根 据 当 前 的 安全 规则 库 ， 
对 服务 器 上 的 指定 目录 进行 文件 的 安全 扫描 ,将 可 疑 的 文件 列 出 并 提供 文件 查看 、 删 除 
等 操作 ， 避 免 潜在 的 安全 隐患 。 


17.5 应 用 架构 安全 


应 用 系统 包括 很 多 种 类 ， 如 0A 、ERP、 人 力 资源 管理 系统 等 ， 本 章节 以 WEB 应 用 
系统 为 例 来 做 阐述 。 


17.5.1 WEB 应 用 安全 的 现状 及 重要 性 


当今 世界 ，Internet 已 经 成 为 一 个 非常 重要 的 基础 平台 。 很 多 企业 都 将 应 用 架设 
在 该 平台 上 ， 为 客户 提供 更 为 方便 、 快 捷 的 服务 支持 。 这 些 应 用 的 功能 和 性 能 ， 都 
在 不 断 地 完善 和 提高 。 然 而 在 安全 性 上 ， 却 没有 得 到 足够 的 重视 。 由 于 网 络 技术 日 
趋 成 熟 ， 黑客 们 也 将 注意 力 从 以 往 对 网 络 服务 器 的 攻击 逐步 转移 到 了 对 WEB 应 用 的 
攻击 上 。 然 而 ， 绝 大 多 数 企 业 将 大 量 的 投资 花费 在 网 络 和 服务 器 的 安全 上 ， 没 有 从 
真正 意义 上 保证 WEB 应 用 本 身 的 安全 ， 给 黑客 以 可 乘 之 机 ， 安 全 风险 达到 了 前 所 未 
有 的 高 度 。 

一 个 典型 的 WEB 应 用 通常 是 标准 的 三 层 架 构 模 型 第 一 层 是 客户 端 ; 使 用 动态 
WEB 内 容 技术 的 部 分 属于 中 间 层 ; 数据 库 是 第 三 层 。 在 企业 WEB 应 用 的 各 个 层面 ， 都 
会 使 用 不 同 的 技术 来 确保 安全 性 。 为 了 保护 客户 端 机 顺 的 安全 ， 用 户 会 安装 防 病毒 软 
件 ; 为 了 保证 用 户 数据 到 企业 WEB 服务 器 的 传输 安全 ， 通 信和 层 通常 会 使 用 SSL (安全 
套 接 层 ) 技术 加 密 数 据 ; 企业 会 使 用 防火 墙 和 IDS/IPS 来 保证 仅 允 许 特 定 的 访问 。 但 
是 ， 即 便 有 防 病 毒 保护 、 防 火 墙 和 IDSZIPS ， 企 业 仍然 不 得 不 允许 一 部 分 的 通信 经 过 防 
火 墙 ， 而 且 WEB 应 用 是 由 软件 构成 的 。 那 么 ， 它 一 定 会 包含 bug， 这些 bug 就 可 以 被 
晋 意 的 用 户 利用 ， 他 们 通过 执行 各 种 恶意 的 操作 ， 或 者 偷窃 ， 或 者 操控 ， 或 者 破坏 
WEB 应 用 中 的 重要 信息 。 只 要 访问 可 以 顺利 通过 企业 的 防火 墙 ，WEB 应 用 就 毫 无 保留 
地 呈现 在 用 户 面前 。 只 有 加 强 WEB 应 用 自身 的 安全 ， 才 是 真正 的 WEB 应 用 安全 解决 
之 道 。 
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17.5.2 常见 的 WEB 应 用 漏洞 及 解决 方案 


1，WEB 平台 软件 漏洞 

WEB 平台 软件 漏洞 包括 WEB 应 用 使 用 的 操作 系统 、HTTP 底层 服务 器 软件 (如 IIS 
或 Apache) 和 第 三 方 应 用 程序 中 的 所 有 程序 错误 或 者 可 以 被 利用 的 漏洞 。 这 个 问题 也 
涉及 错误 配置 ， 包 含有 不 安全 的 默认 设置 或 管理 员 没 有 进行 安全 配置 的 应 用 程序 。 其 解 
决 方案 如 下 : 

1) 执行 严格 的 双向 网 络 访问 控制 。 

2) 找 出 系统 的 安全 漏洞 ， 及 时 更 新 软件 的 安全 补丁 。 

3) 不 要 在 源 代 码 中 放置 私密 信息 。 

4) 禁用 WEB 服务 器 上 不 必要 的 功能 ， 删 除 不 需要 的 应 用 程序 。 

5) 定期 扫描 入 侵 者 。 

2. WEB 认证 威胁 

WEB 认证 包括 用 户 名 和 口令 认证 、 基 于 令 牌 和 证 书 的 认证 及 认证 服务 。 攻 击 者 可 
以 通过 用 户 名 枚 举 、 密 码 猜 测 和 窗 听 等 手段 来 获取 用 户 名 和 密码 ;攻击 者 还 可 以 通过 
SQL 注入 绕 过 认证 ， 也 可 以 窃取 用 户 的 Cookie 并 访问 用 户 的 账户 ， 而 不 必 输 入 ID 和 口 
令 或 进行 其 他 认证 。 其 解决 方案 如 下 : 

1) 使 用 强健 的 密码 策略 和 账户 锁定 策略 。 

2) 采用 高 强度 的 证 书 ， 如 数字 证 书 。 证 书 认证 用 户 时 ， 同 时 使 用 公开 密 钥 系统 和 
数字 证 书 。 证 书 认证 还 可 以 和 其 他 基于 密码 的 认证 机 制 一 起 使 用 ， 以 提供 更 强健 的 安 
全 性 。 

3) 使 用 HTTPS 来 保护 认证 传输 ， 避 免 受到 窃听 和 重 放 攻 击 的 风险 。 

4) 输入 验证 可 以 防止 SQL 注入 、 脚 本 注入 和 命令 执行 。 

5) 确保 认证 安全 令 牌 ， 如 Session ID 和 Cookie 等 ， 不 会 被 轻易 窃取 。 

3. WEB 授权 威胁 

授权 能 够 确定 经 过 认证 的 用 户 可 以 访问 应 用 程序 的 哪些 部 分 ， 以 及 他 们 在 应 用 程序 
中 可 执行 哪些 操作 。 攻 击 者 通过 扑 行 访问 控制 列表 (ACL) 及 分 析 会 话 (Session) 和 
Cookie 中 保存 的 信息 来 得 到 非法 的 授权 。 其 解决 方案 如 下 : 

1) 为 应 用 程序 定义 明确 的 、 一 致 的 访问 策略 ， 配 置 好 用 户 角色 。 

2) 使 用 SSL 加 密 措施 防止 攻击 。 

3) 不 要 在 会 话 中 包含 个 人 敏感 信息 。 

4) 改变 权限 要 重新 生成 会 话 ID。 

4. 非法 输入 和 参数 算 改 漏洞 

在 数据 被 输入 程序 前 忽略 对 数据 合法 性 的 检验 是 一 个 常见 的 编程 漏洞 ， 它 导致 SQL 
注入 和 数据 存储 攻击 、 脚 本 攻击 (包括 跨 站 点 脚本 攻击 ) 和 缓冲 区 溢出 等 。 
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注入 漏洞 ， 特 别 是 SQL 注入 漏洞 ， 主 要 是 利用 目标 网 站 程序 未 对 用 户 输入 的 字符 
进行 特殊 字符 过 滤 或 合法 性 校 验 ， 可 直接 执行 数据 库 语 句 ， 导 致 网 站 存在 安全 风险 。 

跨 站 点 脚本 (XSS) 攻击 利用 网 页 及 Cookie 漏洞 ， 攻 击 者 往 WEB 页 面 里 插入 恶意 
jawascript 代码 ， 当 用 户 浏览 该 页 之 时 ， 租 入 其 中 WEB 里 面 的 jawascript 代码 会 被 执行 ， 
从 而 达到 恶意 用 户 的 特殊 目的 。 

参数 自 改 包括 操纵 URL 字符 串 ， 以 检索 用 户 以 其 他 方式 得 不 到 的 信息 。 访 问 WEB 
应 用 的 后 端 数 据 库 就 是 通过 常常 包含 在 URL 中 的 SQL 调用 来 进行 的 。 亚 意 的 用 户 可 以 
操纵 SQL 代码 ， 以 便 将 来 有 可 能 检索 一 份 包含 所 有 用 户 、 口 令 、 信 用 卡号 的 清单 或 者 
储存 在 数据 库 中 的 任何 其 他 数据 。 其 解决 方案 如 下 : 

1) 对 输入 数据 采用 服务 器 端 验证 。 

2) 限制 输入 字段 的 长 度 和 数字 边界 检查 以 防止 缓冲 区 游 出 。 

3) 对 HTML jawascript 和 SQL 格式 中 的 字符 进行 编码 ， 如 将 脚本 中 的 尖 括 号 转化 为 
对 应 的 编码 以 防止 脚本 攻击 。 

4) 使 用 正则 表达 式 查找 授权 或 未 经 授权 的 内 容 。 

5) 在 应 用 程序 中 使 用 参数 来 构建 查询 及 尽 可 能 地 在 数据 库 中 使 用 存储 过 程 。 

6) 数据 库 加 密 。 通 过 表 级 别 和 字段 级 别 的 加 密 保护 数据 。 

5. WEB 应 用 管理 漏洞 

WEB 应 用 管理 漏洞 包括 管理 员 配 置 错误 和 开发 者 错误 造成 的 漏洞 ， 如 不 必要 的 
WEB 服务 器 扩展 、 直 接 访问 浏览 及 文件 、 用 户 和 状态 页 面 信息 泄露 等 。 服 务 器 目录 浏 
览 是 一 个 不 安全 的 配置 ， 管 理 员 把 敏感 log 放 在 WEB 目录 上 ， 又 开放 了 浏览 目录 权限 ， 
使 得 黑客 直接 访问 这 个 目录 时 ， 把 这 些 敏 感 的 log 打开 就 获取 到 了 明文 的 用 户 名 、 密 
码 。 开 发 人 员 常 常 建立 一 些 后 门 并 依靠 调试 来 排除 应 用 程序 的 故障 ， 这 些 安全 漏洞 经 常 
被 留存 并 放 在 Internet 上 的 最 终 应 用 中 。 一 些 常见 的 后 门 用 户 不 用 口令 就 可 以 登录 或 者 
访问 允许 直接 进行 应 用 配置 的 特殊 URL。 其 解决 方案 如 下 : 

1) 禁止 IIS 的 扩展 。 

2) 保持 站 点 目录 整洁 并 实行 正确 的 访问 控制 。 

3) 提高 站 点 开发 者 的 水 平和 安全 意识 。 

6， WEB 客户 端 攻击 
通过 钓鱼 软件 、 间 谍 软 件 和 恶意 广告 对 在 线 用 户 进 行 欺诈 。 钓 鱼 软件 通常 以 精心 设 
计 的 虚假 网 页 引诱 用 户 上 当 ， 达 到 盗 取 银 行 账 号 、 信 用 卡号 码 等 目的 。 虚 假 网 页 一 般 以 
eBay 和 PayPal 等 大 家 熟悉 的 网 页 为 招牌 ， 用 户 点 击 链接 之 后 就 进入 了 一 个 看 起 来 与 真 
实 网 页 极其 相似 的 网 页 。 其 解决 方案 如 下 : 

1) 运行 防 病毒 软件 及 反 钓鱼 和 反 间 谍 软 件 工 具 。 

2) 提高 警惕 5 高 度 谨慎 地 处 理 基 于 Internet 的 请 求 和 事务 。 

7. 拒绝 服务 攻击 

拒绝 服务 (DoS) 攻击 包括 计算 机 网 络 带宽 攻击 和 连通 性 攻击 。 带 宽 攻 击 指 以 极 大 
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的 通信 量 冲 击 网 络 ， 使 得 所 有 可 用 网 络 资源 都 被 消耗 殖 尽 ， 最 后 导致 合法 的 用 户 请 求 无 
法 通过 。 连 通 性 攻击 指 用 大 量 的 连接 请 求 冲击 计算 机 ， 使 得 所 有 可 用 的 操作 系统 资源 都 
被 消耗 殖 尽 ， 最 终 计算 机 无 法 再 处 理 合法 用 户 的 请 求 。 其 解决 方案 如 下 : 

1) 网 络 管理 员 要 积极 谨慎 地 维护 系统 ， 增 强 服务 器 的 安全 性 ， 确 保 无 安全 隐患 和 
漏洞 。 

2) 安装 防火 墙 等 安全 设备 过 滤 DoS 攻击 。 

3) 网 络 管理 员 应 当 定 期 查看 安全 设备 的 日 志 ， 及 时 发 现 对 系统 的 安全 威胁 行为 。 

4) 在 设计 WEB 应 用 程序 时 ， 通 过 控制 用 户 登 录 和 各 种 数据 处 理 方式 来 避免 DoS 
攻击 。 

如 尽 可 能 不 在 客户 端 做 数据 处 理 ， 尽 可 能 从 缓存 读 取 数 据 库 等 。 

8. 不 适当 的 错误 处 理 

在 进行 各 种 错误 的 处理 操作 时 ， 应 用 程序 可 能 由 于 其 不 适当 的 错误 处 理 在 无 意 中 汇 
露 其 配置 信息 、 内 部 运作 信息 及 侵犯 隐私 的 敏感 信息 。 攻 击 者 利用 该 漏洞 可 能 盗 取 敏感 
的 数据 ， 甚 至 发 动 更 为 危险 的 攻击 行为 。 其 解决 方案 如 下 : 

1) 使 用 结构 化 错误 处 理 ， 以 避免 使 用 软件 默认 的 错误 处 理 右 而 上 暴 露 信息 。 

2) 确定 结构 化 错误 处 理 咒 ， 即 使 代码 失败 ， 也 可 以 安全 地 失败 。 


17.5.3 应 用 安全 开发 


软件 安全 开发 的 概念 始 于 20 世纪 末 21 世纪 初 ， 当 时 由 于 病毒 猩 狐 、 软 件 漏 洞 百 
出 ， 因 软件 安全 问题 导致 在 现实 生活 中 发 生 了 很 多 如 隐私 泄露 、 资 金 损失 及 系统 骨 溃 等 
安全 事件 。 安 全 专家 由 此 提出 软件 安全 开发 的 概念 ,希望 通过 在 软件 开发 的 各 个 阶段 充 
分 考虑 安全 因素 ， 来 增强 软件 安全 性 ， 并 尽量 减少 软件 安全 事件 的 发 生 。 软 件 的 安全 性 
在 银行 的 众多 应 用 系统 中 显得 尤为 重要 。 

软件 安全 开发 的 研究 主要 从 生命 周期 的 角度 来 开展 对 安全 设计 的 原则 、 安 全 开发 的 
方法 、 最 佳 实践 和 安全 专家 经 验 等 方面 的 研究 ， 通 过 采用 各 种 安全 活动 以 保证 得 到 安全 
的 软件 。 近 十 年 来 ， 众 多 软件 安全 开发 生命 周期 被 提出 来 ， 比 较 知名 的 有 微软 提出 的 安 
全 开发 生命 周期 (SDL) 、 使 安全 成 为 软件 开发 必须 的 部 分 ( BIS)、 综 合 的 轻 量 级 应 用 
安全 过 程 (CLASP) 、 软 件 保 证 成 熟 度 模型 (SAMM) 等 。 

应 用 软件 安全 的 目标 是 要 维护 信息 资源 的 保密 性 、 完 整 性 和 可 用 性 ， 以 确保 业务 的 
成 功 运作 。 

WEB 应 用 安全 开发 的 安全 编码 规范 通常 包括 以 下 的 检查 点 : 输入 验证 、 输 出 编码 、 
身份 验证 和 密码 管理 、 会 话 管理 、 访 问 控制 、 加 蜜 规范、 错误 处 理 和 日 志 、 数 据 保护 、 
通信 安全 、 系 统 配 置 、 数 据 库 安 全 、 文 件 管理 、 内 存 管 理 、 通 用 编码 规范 等 内 容 。 

应 用 开发 生命 周期 通常 包括 6 个 阶段 ， 分 别 为 需求 、 设 计 、 开 发 和 测试 、 部 署 、 运 
维 、 废 弃 阶 段 ， 应 用 安全 的 问题 经 常 表现 在 部 署 、 运 维 阶段 ， 但 根源 在 于 需求 、 设 计 、 
开发 阶段 ， 安 全 开发 需要 将 信息 安全 融入 上 述 阶段 中 。 
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17.6 案例 分 析 : 应 用 安全 防护 案例 


某 城市 商业 银行 为 保障 网 上 银行 业务 的 顺利 开展 ， 在 网 银 服务 器 所 在 的 数据 中 心 分 
别 部 署 了 防火 墙 、 IDS、IPS、 链 路 负载 均衡 设备 等 网 络 安全 设备 ， 对 于 第 七 层 的 应 用 层 
防护 效果 不 太 理 想 。 为 了 应 用 层 的 关键 业务 的 正常 运营 ， 在 特定 的 区 域 (图 17-2 中 的 
CFCA) 部 署 WEB 应 用 防火 墙 (WAF) 、 网 站 监控 平台 、 网 页 防 算 改 系统 。 


CFCA 
中 国 金融 认证 中 心 


Core-DB APP 


多 17-2 ”电子 银行 拓扑 图 
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银行 业 是 国民 经 济 的 重要 和 领域， 银行 信息 安全 是 国家 安全 的 重要 组 成 部 分 ， 保 障 银 
行业 信息 安全 的 方式 有 很 多 ， 密 码 和 吴 份 鉴别 技术 无 疑 是 非常 重要 的 一 种 。 本 章 对 密码 
技术 的 基本 概念 、 身 份 验证 的 技术 及 在 银行 中 的 应 用 进行 了 介绍 。 


18.1 密码 技术 概述 


密码 技术 理论 性 较 强 ， 在 全 面 介绍 密码 技术 的 使 用 前 ， 先 对 密码 技术 的 基础 知识 做 
一 个 简单 的 介绍 。 

密码 的 发 展 由 来 已 入 ， 大 体 分 为 以 下 4 个 阶段 : 

第 一 个 阶段 是 从 古代 到 19 世纪 末 一 一 古典 密码 (Classical Cryptography) 。 

第 二 个 阶段 从 20 世纪 初 到 1949 年 一 一 近代 密码 。 

第 三 个 阶段 从 1949 年 C. E. Shannon (香农 ) 发 表 的 划时代 论文 “The Communica- 
tion Theory of Secret Systems” 开始 现代 密码 。 

第 四 个 阶段 从 1976 年 W. Diffie 和 M. Hellman 发 表 的 论文 “New Directions in Cryp- 
tography” 开 始 公 钥 密码 。 

1. 古典 密码 

古典 密码 是 非常 古老 的 密码 体系 ， 其 大 部 分 加 密 算 法 都 是 使 用 代替 密码 或 置换 密 
码 ， 有 时 则 是 两 者 的 混合 。 古 典 密 码 的 使 用 历史 悠久 ， 但 现代 已 经 很 少 使 用 ， 在 银行 业 
几乎 不 再 使 用 。 

古典 密码 体制 的 安全 性 在 于 保持 算法 本 身 的 保密 性 ， 受 到 算法 限制 ， 不 适合 大 规模 
生产 ， 不 适合 较 大 的 或 者 人 员 变 动 较 大 的 组 织 。 著 名 的 古典 密码 有 已 撒 密码 和 斯 巴 达 人 
天 书 密码 ,分别 如 图 18-1、 图 18-2 所 示 。 

2. 近代 密码 

近代 密码 从 算法 来 说 与 古典 密码 并 没有 本 质 差别 ， 其 标志 为 机 械 密码 /机 电 密 码 的 
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明文 字母 |abcdefghijklmnopqrstuvwxyz 
密 文 字母 | DEFGHIJKLMNOPOQRSTUVWXYZABC 


图 18-1 届 撒 密码 


NN 


到 18-2 ”斯 巴 达 人 天 书 密码 


产生 ， 用 机 电 代 替 手 工 ， 这 可 以 让 其 算法 变 得 非常 繁复 ， 增 加 破译 的 难度 ， 但 又 不 影响 
加 密 、 解 密 的 速度 ， 在 战争 中 被 大 量 使 用 。 

图 18-3 是 著名 的 转 轮 密 码 机 ENIGMA ， 由 Arthur Scherbius 于 1919 年 发 明 。 在 二 次 
世界 大 战 期 间 ，ENIGMA 曾 是 德国 陆 、 海 、 空 三 军 的 最 高 级 密码 机 。 


18-3 ” 转 轮 密码 机 ENIGMA 


近代 密码 主要 用 于 以 前 的 军事 通讯 ， 目 前 在 银行 业 中 也 几乎 不 使 用 。 
3. 现代 密码 
1949 年 ， 密 码 学 划时代 的 人 物 香农 (C. E. Shannon) 发 表 划 时 代 论 文 “The Com- 
munication Theory of Secret Systems”， 为 密码 学 建立 理论 基础 ， 从 此 密码 学 成 为 一 门 科 
学 。Shannon 利用 信息 论 的 方法 研究 加 密 问题 ， 提 出 “完善 保密 ”的 概念 ， 该 文 利 用 数 
学 的 方法 将 信息 源 、 密 钥 源 及 密 钥 做 了 定量 描述 和 分 析 ， 从 此 以 后 ， 主 流 的 数据 安全 基 
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于 密 钥 而 不 是 算法 的 保密 ， 密 码 技术 进入 现代 密码 学 。 

典型 的 算法 有 : DES、3DES 、IDEA 、AES、 国 密 算法 SM1 、SM4、SM7、 祖 冲 之 密 
码 等 。 这 些 算法 一 般 称 之 为 对 称 算法 ， 至 今 在 银行 业 中 的 使 用 仍然 非常 广泛 。 

4. 公 钥 密码 

1976 年 ，Diffie 和 Hellman 在 发 表 的 论文 “New Directions in Cryptography” 中 提出 
了 非 对 称 密 钥 密码 ， 即 密 钥 是 成 对 的 ， 分 为 加 密 密 钥 和 人 解密 密 钥 ， 从 一 个 密 钥 很 难 推 导 
出 男 一 个 密 钥 。 包 含 非 对 称 密 钥 的 算法 就 叫 非 对 称 密码 算法 ， 又 叫 公 钥 密 码 算法 (Pub- 
lic-key Cipher) 。 其 中 ， 对 外 公开 的 密 钥 ， 称 为 公开 密 钥 (Public Key) ， 简 称 公 钥 ; 必 
须 保密 的 密 钥 ， 称 为 私有 密 钥 (Private Key) ,简称 私 钥 。 公 钥 密 码 算 法 的 出 现 使 得 发 
送 端 和 接收 端 之 间 无 须 密 钥 传输 ， 其 安全 性 有 显著 的 提高 。 

典型 的 公 钥 算法 有 : RSA、ECC、ElGamal、 国 密 算法 SM2、SM9 等 。 

非 对 称 密码 算法 除了 可 以 对 数据 进行 加 密 ， 还 有 一 个 重要 的 用 途 是 用 于 实现 数据 签 
名 。 数 据 签 名 是 只 有 信息 的 发 送 者 才能 产生 的 ， 别 人 无 法 伪造 的 一 段 数 字 串 ， 这 段 数字 
串 同时 也 是 对 信息 发 送 者 发 送信 息 真 实 性 的 一 个 有 效 证 明 。 数 字 签 名 可 以 被 数据 接受 者 
验证 ， 达 到 抗 抵赖 的 目的 ， 即 数据 发 送 者 不 可 以 否认 自己 曾经 实际 发 送 过 的 数据 。 

5. 散 列 算法 

除 加 密 、 解 密 算法 之 外 ， 散 列 算法 也 是 密码 算法 中 非常 重要 的 算法 。 散 列 算法 又 叫 
哈 希 (Hash) 算法 、 杂 凑 算 法 ， 是 将 任意 长 度 的 消息 映射 成 一 个 较 短 的 定 长 输出 信息 
的 算法 。 其 形式 为 : 


h=H(M) 
式 中 ，W 是 变 长 的 报 文 ，h 是 定 长 的 散 列 值 。 

数学 性 质 : 对 任意 给 定 的 x，H (x) ， 易 于 ( 软 硬 件 实现 ) 计算 ， 且 满足 : 

今 单 向 性 : 对 任意 给 定 的 码 h， 和 寻求 x 使 得 H (x) =h 在 计算 上 是 不 可 行 的 。 

仿 弱 抗 碰 撞 性 : 任意 给 定 分 组 x， 寻 求 不 等 于 x 的 y, 使 得 五 (y) = (x) 在 计算 
上 不 可 行 。 

今 强 抗 碰 撞 性 : 寻求 对 任何 的 (x, y) 对 ,使 得 H(x) =H(y) 在 计算 上 不 可 行 。 

典型 的 散 列 算法 很 多 ， 常 用 的 如 MD5 和 SHA 系列， 以 及 国 密 算法 SM3 。 


18.2 ”国产 密码 算法 的 介绍 


银行 业 是 国民 经 济 的 重要 领域 ,银行 信息 安全 是 国家 安全 的 重要 组 成 部 分 ， 国 家 的 
相关 机 构 正 在 从 战略 层面 规划 金融 领域 信息 安全 的 部 署 和 实施 。 目 前 中 国人 民 银 行 在 大 
力 推 广 国产 算法 的 使 用 ， 并 优先 在 金融 IC 应 用 领域 展开 。 密 码 算法 是 银行 信息 安全 保 
障 工作 的 基石 ， 目 前 我 国 银行 业 的 密码 算法 主要 采用 的 仍然 是 国际 的 通用 算法 ， 如 采用 
RSA、SHA-1、MD5、DES、3DES、AES 等 算法 ， 实 现 数字 签名 / 验 签 、 数 据 加 密 / 解 
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密 、 密 钥 协 商 等 安全 功能 。 由 于 我 国 无 法 掌握 这 些 算法 设计 和 应 用 方面 的 细节 ， 也 就 无 
法 从 根本 上 保障 金融 应 用 系统 的 稳定 与 安全 ,难以 实现 自主 、 可 控 的 信息 安全 防护 体 
系 ; 同时 ， 随 着 时 间 的 推移 和 设备 计算 能 力 的 提高 ， 某 些 算 法 已 经 不 再 安全 。 

为 了 应 对 被 动 局 面 ， 国 家 层面 已 经 进行 了 统一 部 署 ， 并 研制 和 公布 了 SM2 、SM3 、 
SM4 等 一 系列 密码 算法 ， 用 以 保障 我 国 的 信息 安全 。 在 国家 主导 的 行业 中 更 多 地 采用 
国有 密码 算法 ， 已 经 成 为 趋势 。 为 此 ， 中 国人 民 银 行 也 统一 推出 了 国产 密码 算法 应 用 的 
总 体 规划 和 总 体 方案 ， 并 在 实施 的 时 间 表 上 将 金融 IC 卡 及 移动 支付 等 应 用 排 在 了 最 前 
端 。 为 推动 金融 IC 卡 与 移动 支付 的 发 展 ， 中 国人 民 银 行 启动 了 《中 国 金融 集成 电路 
(IC) 卡 规范 》 的 增补 和 修订 工作 ， 于 2013 年 发 布 了 PBOC3.0 规范 。 与 此 同时 ， 国 家 
发 改 委 在 2012 年 底 也 专门 启动 了 金融 领域 IC 卡 和 密码 应 用 专项 基金 ， 用 于 扶持 和 支持 
相关 安全 产品 ， 这 其 中 就 包括 用 于 IC 卡 的 金融 数据 密码 机 。 事 实 上 ， 国 产 密码 和 算法 
已 经 在 银行 中 有 相当 比例 的 应 用 ， 并 在 持续 地 扩大 ， 最 终 ， 国 产 密码 和 算法 将 全 面 取 代 
非 国产 密码 和 算法 。 

国产 密码 逐步 取代 非 国 产 密码 是 金融 安全 的 核心 需求 ， 是 信息 安全 技术 发 展 的 必然 
趋势 。 

2010 年 3 月 ， 美 国 密 欢 根 大 学 的 三 位 科学 家 宣称 找到 RSA 算法 缺陷 ， 随 后 国内 
相关 部 门 也 发 布 了 “关于 RSA 算法 存在 被 破解 的 风险 的 通报 ”。 为 了 应 对 银行 业 密码 
算法 应 用 中 存在 的 问题 ， 我 国 积极 推动 国产 密码 算法 的 研发 和 使 用 ， 国 家 密码 机 构 
制定 了 一 系列 密码 标准 ， 包 括 SSF33 、SM1 (SCB2 ) 、SM2 、SM3 、SM4 、SM7 、SM9 、 
祖冲之 密码 算法 等 。 其 中 SSF33 、SM1 、SM4 、SM7 、 祖 冲 之 密码 是 对 称 算法 SM2 、 
SM9 是 非 对 称 算法 ; SM3 是 哈 希 算法 。 目 前 已 经 公布 算法 文本 的 包括 祖冲之 序列 密码 
算法 、SM2 椭圆 曲线 公 钥 密码 算法 、SM3 密码 杂凑 算法 、SM4 分 组 密码 算法 等 。 同 时 ， 
我 国 自主 知识 产权 的 密码 算法 及 应 用 条 件 逐 渐 成 熟 ， 相 关 部 门 从 国家 层面 提出 实施 以 国 
产 密码 技术 为 核心 的 自主 可 控 的 金融 安全 体系 建设 的 战略 ， 并 积极 开展 顶层 设计 和 总 体 
规划 。 

下 面 选择 银行 业 最 常用 的 SM2 、SM3 、SM4 算法 做 详细 介绍 。 


18.2.1 SM2 非 对 称 算 法 


国 密 非 对 称 算法 SM2 对 应 国际 算法 RSA， 其 密 钥 位 长 为 m (m =256) 。 该 算法 是 
一 种 椭圆 曲线 公 钥 密码 算法 ， 其 加 解密 采用 不 同 的 密 钥 。210 位 的 SM2 密 钥 强度 与 
2048 位 的 RSA 强度 相当 。 关 于 算法 标准 ， 请 参见 《国家 密码 管理 局 公告 (第 21 号 )》， 
下 面 只 做 简单 介绍 。 

SM2 算法 采用 的 椭圆 曲线 方程 为 : 

y = 委 +ax +b 

在 SM2 算法 标准 中 ， 通 过 指定 a、& 系数 ， 确 定 了 唯一 的 标准 曲线 。 同 时 ， 为 了 将 

曲线 映射 为 加 密 算法 ，SM2 标准 中 还 确定 了 其 他 参数 ， 供 算法 程序 使 用 。 
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本 文 不 探讨 椭圆 曲线 的 数学 理论 ， 仅 通过 图 示 展 示 算 法 原理 (图 18-4) 。 


SM2 算法 做 为 公 钥 算法 ， 可 以 完 
成 签名 、 密 钥 交 换 及 加 密 应 用 。SM2 
算法 标准 确定 了 标准 过 程 : 

1) 签名 、 验 签 计算 过 程 。 

2) 加 密 、 解 密 计 算 过 程 。 

3) 密 钥 协商 计算 过 程 。 


需要 说 明 的 是 ， 其 他 国家 的 标准 

和 SM2 确定 的 计算 过 程 存 在 差异 ， 

也 就 是 说 相互 之 间 是 不 兼容 的 。 
18. 2.2 ”SM3 杂凑 算法 


杂凑 算法 SM3 ， 对 应 国际 算法 


SHA-1。 对 于 给 定 的 长 度 为 k (k < 图 18-4 椭圆 曲线 算法 原理 


264) 的 消息 ，SM3 密码 杂凑 算法 经 


过 填充 、 和 迭代 压缩 和 选 裁 ， 生 成 杂凑 值 。 经 预 处 理 过 的 消息 分 组 长 度 为 512 位 。 


SM3 杂凑 数据 流程 如 网 18-5 所 示 。 

SM3 杂凑 算法 流程 原理 : 

1) 密码 机 接收 杂凑 请 求 ， 将 数据 保存 到 内 存 中 ， 
并 从 内 存 中 读 取 杂凑 参数 、 数 据 ， 请 求 算法 卡 进行 杂凑 
运算 。 

2) 算法 卡 接收 到 数据 和 杂凑 参数 后 进行 休 凌 运算 ， 
并 向 密码 机 CPU 返回 杂凑 值 。 

3) 密码 机 CPU 接收 并 向 应 用 返回 杂凑 值 。 


18. 2.3 ”SM4 对 称 算法 


国 密 对 称 算法 SMS4 对 应 国际 算法 3DES。 该 算法 
是 一 个 分 组 算法 ， 用 于 无 线 局 域 网 产品 。 该 算法 的 分 组 
长 度 为 128 位 ， 密 钥 长 度 为 128 位 。 加 密 算法 与 密 钥 扩 
展 算法 都 采用 32 轮 非 线性 迭代 结构 。 解 密 算 法 与 加 密 
算法 的 结构 相同 ， 只 是 轮 密 钥 的 使 用 顺序 相反 ， 解 密 轮 
密 钥 是 加 密 轮 密 钥 的 逆序 。 

此 算法 采用 非 线 性 迭代 结构 ， 每 次 迭代 由 一 个 轮 函 
数 给 出 ， 其 中 轮 函 数 由 一 个 非 线 性 变换 和 线性 变换 复 / 
合 而 成 ， 非 线性 变换 由 S 盒 所 给 出 。 
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。 接收 SM3 杂凑 请 求 
。 接收 数据 并 存 于 内 存 中 
。 从 内 存 读 取 杂 凌 参 数 


。 接收 杂凑 参数 和 数据 
。 进行 杂 凌 运算 生成 杂 凌 值 


密码 机 CPU 


。 接收 杂凑 值 并 存 于 内 存 
。 返回 杂凑 结果 


图 18-5 ”SM3 杂凑 数据 流程 图 
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密码 机 CPU 


。 接收 SM4 加 密 请 求 


。 接收 数据 、 密 钥 、 初 始 化 向 量 、 
加 密 模式 


明文 数据 、 密 钥 、 
初始 向 量 、 加 密 模 式 


“接收 数据 明文 、 会 话 密 钥 、 初 始 
向 量 、 加 密 模式 
。 进 行 加 密 运 算 ， 得 出 结果 


密码 机 CPU 


。 接 收 密 文 并 存 于 内 存 中 
。 返回 密 文 结果 


图 18-6 SM4 加 密 数 据 流程 图 


其 中 x; 为 轮 密 钥 ， 合 成 置换 了 组 成 轮 函 数 。 轮 密 钥 的 产生 与 SM3 杂凑 数据 流程 图 
类 似 ， 由 加 密 密 钥 作为 输入 生成 ， 轮 函数 中 的 线性 变换 不 同 ， 还 有 些 参数 的 区 别 。 

SM4 加 密 数 据 流 程 如 图 18-6 所 示 。 

SM4 加 密 数 据 流 说 明 : 

1) 密码 机 接收 SM4 加 密 请 求 后 ， 将 数据 、 密 钥 、 初 始 化 向 量 、 加 密 模式 保存 于 密 
码 机 内 存 中 ， 请 求 算法 卡 进行 加 密 运 算 。 

2) 算法 卡 接收 数据 、 密 钥 、 初 始 化 向 量 、 加 密 模 式 ， 进 行 SM4 加 密 运算 ， 并 将 加 
密 结果 返回 给 密码 机 CPU。 

3) 密码 机 CPU 接收 并 向 应 用 返回 数据 密 钥 。 


18.3 身份 鉴别 技术 


身份 鉴别 技术 是 在 计算 机 网 络 、 应 用 系统 中 用 于 确认 操作 者 身份 的 技术 。 在 信息 世 
界 中 一 切 信息 包括 用 户 的 身份 信息 都 是 用 特定 的 数据 来 表示 的 ， 计 算 机 只 能 识别 用 户 的 
数字 身份 ， 所 有 对 用 户 的 授权 也 是 针对 用 户 数字 身份 的 授权 。 如 何 保证 以 数字 身份 进行 
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操作 的 操作 者 就 是 这 个 数字 身份 的 合法 拥有 者 ， 如 何 保证 操作 者 的 物理 号 份 与 数字 吴 份 
相对 应 ， 是 作为 信息 系统 入口 的 第 一 道 关口 ， 有 着 举足轻重 的 作用 。 

银行 信息 系统 ， 对 身份 鉴别 的 要 求 更 高 ,简单 的 用 户 名 和 密码 无 法 满足 银行 业务 的 
安全 需要 。 例 如， 对 转账 等 关键 操作 ， 银 行业 务 均 要 求 对 同一 用 户 采用 两 种 或 两 种 以 上 
组 合 的 鉴别 技术 实现 用 户 身 份 鉴别 。 为 实现 多 种 鉴别 技术 ， 就 需要 借助 USBKey、OTP 
令 牌 等 安全 工具 。 除 这 些 安 全 工具 外 ， 一 些 生物 识别 技术 也 开始 应 用 ， 在 本 部 分 一 并 


介绍 。 


18.3.1 业务 交易 中 的 身份 认证 


根据 中 国人 民 银 行 网 上 银行 系统 信息 安全 通用 规范 对 业务 安全 运作 规范 中 的 号 份 认 
证 做 出 如 下 要 求 : 

1) 金融 机 构 应 按照 审慎 原则 ， 采 取 有 效 、 可 靠 的 身份 认证 手段 ， 保 证 资金 类 交易 
安全 。 

2) 网 上 银行 资金 类 交易 、 重 要 信息 及 业务 变更 类 等 高 风险 业务 应 使 用 双 因素 身份 
认证 。 双 因素 身份 认证 由 以 下 两 种 身份 认证 方式 组 成 : 一 是 客户 知晓 、 注 册 的 客户 名 称 
及 密码 。 二 是 客户 持 有 、 特 有 并 用 于 实现 身份 认证 的 信息 ， 包 括 但 不 限于 物理 介质 或 电 
子 设备 等 。 以 下 资金 类 交易 可 不 受 上 述 限 制 : 同一 客户 账户 之 间 转 账 并 且 金 融 机 构 能 
效 识别 转 入 、 转 出 方 为 同一 客户 账户 的 。 

3) 禁止 仅 使 用 文件 证 书 或 使 用 文件 证 书 加 静态 密码 的 方式 进行 资金 类 交易 。 

4) 使 用 企业 网 上 银行 进行 资金 类 交易 时 ， 应 至 少 使 用 硬件 承载 的 数字 证 书 进行 签 
名 等 安全 认证 方式 。 

5) 应 采取 有 效 措施 引导 客户 设置 与 银行 卡 交 易 密码 不 同 的 网 上 银行 登录 、 交 易 密 
码 ， 使 用 不 相同 的 登录 密码 及 交易 密码 。 

6) 客户 登录 网 上 银行 时 或 登录 后 执行 账户 资金 操作 时 ， 若 身份 认证 连续 失败 超过 
一 定 次 数 (不 超过 10 次 ) ， 应 在 短 时 间 内 锁定 该 客户 网 上 银行 登录 权限 或 交易 账户 使 
用 权限 ， 并 立即 通过 短信 或 电话 等 可 靠 的 方式 通知 客户 。 

7) 金融 机 构 用 于 发 送 网 上 银行 交易 提示 短信 、 动 态 验证 码 等 信息 的 客户 预 留 手 机 
号 码 变更 时 应 符合 下 列 要 求 之 一 : 客户 持 有 效 身 份 证 件 到 柜台 办 理 ; 客户 通过 网 上 银行 
渠道 变更 预 留 手机 号 码 ， 金 融 机 构 必 须 采取 双 因素 身份 认证 验证 用 户 的 真实 身份 及 银行 
卡 交易 密码 ， 并 通过 验证 发 向 原 预 留 手机 号 码 的 短信 和 验证 码 等 可 靠 的 方式 ， 请 求 客户 本 
人 对 预 留 手机 号 码 变 更 操作 进行 确认 。 

8) 网 上 银行 系统 接受 商户 或 非 金融 支付 机 构 的 系统 建立 连接 请 求 时 ， 应 通过 验证 
其 服务 器 数字 证 书 、 预 留 IP 地 址 比 对 等 方式 认证 其 系统 的 身份 。 应 对 网 上 银行 系统 和 
商户 或 第 三 方 系统 之 间 发 送 和 接收 的 信息 采用 数字 证 书 机 制 进行 签名 及 验 签 ， 保 证 交易 
数据 的 完整 性 和 不 可 抵赖 性 。 
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18.3.2 身份 鉴别 中 常用 的 安全 工具 


1. 静态 密码 

用 户 密码 由 用 户 自 己 掌握 ， 在 系统 登录 时 输入 正确 的 密码 ， 计 算 机 就 认为 操作 者 为 
合法 用 户 。 用 户 的 密码 是 静态 存储 ， 平 时 不 会 变化 ， 因 而 叫 静 态 密码 。 

在 实际 使 用 中 ， 由 于 许多 用 户 为 了 防止 忘记 密码 ， 经 常 采用 诸如 生日 、 电 话 号 码 等 
容易 被 猜测 的 字符 串 作 为 密码 ， 或 者 把 密码 抄 在 纸 上 放 在 一 个 自 认 为 安全 的 地 方 ， 这 样 
很 容易 造成 密码 泄漏 。 同 时 ， 验 证 时 ， 在 存储 和 传输 过 程 中 可 能 会 被 木马 程序 或 其 他 手 
段 截获 。 因 此 ， 关 态 密 码 机 制 虽然 使 用 、 部 署 都 非常 简单 ， 但 从 安全 性 上 讲 ， 用 户 名 / 
密码 方式 一 种 是 不 安全 的 身份 认证 方式 。 

静态 密码 认证 还 分 为 本 地 认证 和 远程 认证 ， 密 码 保存 在 本 地 系统 中 为 本 地 认证 ， 密 
码 保存 在 远 端 的 设备 中 ， 需 要 通过 网 络 通信 来 完成 密码 认证 为 远程 认证 。 

银行 信息 系统 对 于 客户 来 说 ， 密 人 码 均 是 统一 保存 在 远 端的 服务 器 上 ， 均 采用 远程 认 
证 方式 。 
静态 密码 最 为 常见 的 破解 方式 为 暴力 破解 ， 即 通过 不 断 尝试 密码 来 寻找 正确 密码 。 
系统 通常 设置 在 登录 尝试 失败 达到 一 定 次 数 后 加 以 限制 ， 如 在 一 段 时 间 内 锁定 账号 、 锁 
定 卫 等 ,阻止 攻击 者 连续 尝试 登录 。 

2. 智能 卡 

智能 卡 (IC Card) 是 内 能 有 微 芯 片 塑料 卡 的 通称 。 智 能 卡 自身 就 是 功能 齐备 的 计 
算 机 ， 它 有 自己 的 内 存 和 微 处 理 器 ， 包 括 中 央 处 理 器 CPU、 可 编程 只 读 存储 器 EEP- 
ROM 、 随 机 存储 器 RAM 和 固化 在 只 读 存 储 器 ROM 中 的 卡 内 操作 系统 COS ( Chip Oper- 
ating System ) ， 具 备 读 取 和 写 人 能 力 ， 人 允许 对 智能 卡 上 的 数据 进行 访问 和 更 改 ， 而 卡 中 
数据 又 分 为 外 部 读 取 和 内 部 处 理 部 分 。 

从 安全 的 角度 来 看 ， 智 能 卡 提供 了 对 卡片 里 存储 身份 认证 信息 的 能 力 ， 该 信息 能 
被 智能 卡 读 卡 器 所 读 取 。 智 能 卡 读 卡 器 能 够 连 到 PC 上 来 验证 ， 或 者 通过 VPN 连接 到 远 
程 验证 。 

智能 卡 由 合法 用 户 随身 携带 ， 登 录 时 必须 将 智能 卡 插入 专用 的 读 卡 器 读 取 其 中 的 信 
息 ， 以 验证 用 户 的 身份 。 一 些 智能 卡 包含 一 个 RFID 芯片 ， 它 们 不 需要 与 读 写 器 的 任何 
物理 接触 就 能 够 识别 持 卡 人 。 

银行 卡 就 是 一 种 智能 卡 ， 类 似 ATM 机 等 业务 均 利 用 智能 卡 结合 静态 密码 验证 。 

智能 卡 认证 是 通过 智能 卡 硬件 不 被 复制 来 保证 用 户 身份 不 会 被 仿冒 。 然 而 由 于 每 次 
从 智能 卡 中 读 取 的 数据 是 静态 的 ， 通 过 内 存 扫 摘 或 网 络 监听 等 技术 还 是 有 可 能 截取 到 用 
户 的 身份 验证 信息 ， 因 此 还 是 存在 安全 隐患 。 

3. 短信 密码 /短信 验证 码 

短信 和 密码 是 以 手机 短信 形式 请 求 包 含 一 些 随 机 数 (通常 为 6 位 ) 的 动态 密码 ， 认 
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证 系统 以 短信 形式 发 送 随机 的 6 位 密码 到 客户 的 手机 上 ， 客 户 在 登录 或 者 交易 认证 时 候 
输入 此 动态 密码 ， 从 而 确保 系统 身份 认证 的 安全 性 。 短 信 密 码 的 优点 如 下 。 

1) 密码 通讯 安全 性 : 由 于 手机 与 客户 绑 定 比较 紧密 ， 短 信和 密码 生成 与 使 用 场景 是 
物理 隔绝 的 ， 因 此 密码 在 通路 上 被 截取 的 概率 降 至 最 低 。 

2) 普及 性 : 只 要 能 接收 短信 和 即 可 使 用 ， 大 大 降低 短信 和 密码 技术 的 使 用 门槛 ， 学 习 
成 本 几乎 为 0， 所 以 在 市 场 接受 度 上 面 不 会 存在 阻力 。 

3) 易 维护 : 由 于 短信 网 关 技 术 非 常 成 熟 ， 大 大 降低 短信 密码 系统 上 马 的 复杂 度 和 
风险 ， 短 信 密 码 业 务 后 期 客服 成 本 低 ， 是 目前 银行 大 量 采 纳 的 补充 验证 技术 。 

4. 动态 口令 /动态 口令 令 

动态 口令 (One-Time Password，OTP) 又 称 一 次 性 密码 ， 是 使 用 密码 技术 实现 的 在 
客户 端 和 服务 器 之 间 通 过 共享 秘密 的 一 种 认证 技术 ， 是 一 种 强 认 证 技术 ， 是 增强 目前 静 
态 口 令 认 证 的 一 种 非常 方便 技术 手段 ， 是 一 种 重要 的 补充 认证 技术 ， 动 态 口 令 认 证 技术 
由 客户 端 用 于 生成 口令 的 产生 器 一 一 动态 令 牌 (一 个 硬件 设备 ) 和 用 于 管理 令 牌 及 口 
令 认 证 的 后 台 动 态 口令 认证 系统 组 成 。 

动态 口令 (OTP) 的 早期 意思 其 实 是 一 次 性 密码 (One-Time Pad，OTP) ， 也 叫 密 
电 本 ， 是 一 种 应 用 于 军事 领域 的 谍报 技术 ， 即 对 通信 信息 使 用 预先 约定 的 一 次 性 密 电 本 
进行 加 密 和 解密， 使 用 后 的 密 电 本 部 分 丢弃 不 再 使 用 ， 能 够 做 到 一 次 一 密 。 

目前 在 安全 强 认证 领域 使 用 的 OTP 动态 密码 技术 ， 国 内 国外 均 有 实用 的 技术 产品 
支持 。 比 如 国内 是 国 密 的 OTP 密码 算法 ， 具 体 使 用 的 是 国 密 SM1 (对 称 ) 和 SM3 
(HASH) 算法 。 国 外 最 早出 现 的 是 RSA 公司 的 RSA SecureID 产品 ， 目 前 ， 国 际 上 动态 
口令 OTP 有 两 大 主流 算法 ， 一 个 是 RSA Secure ID ， 另 一 个 是 OATH 组 织 的 OTP 算法 ， 
RSA Secure ID 使 用 AES 对 称 算法 ，OATH 使 用 HMAC 算法 。 可 以 说 OTP 技术 已 经 相当 
成 熟 。 

动态 口令 的 基本 认证 原理 是 认证 双方 共享 密 钥 ， 也 称 种 子 密 钥 ， 并 使 用 同一 个 种 子 
密 钥 对 某 一 个 事件 计数 或 时 间 值 或 异步 挑战 数 进行 密码 算法 计算 ， 使 用 的 算法 有 对 称 算 
法 、HASH、HMAC， 之 后 比较 计算 值 是 否 一 致 而 进行 认证 。 可 以 做 到 一 次 一 个 动态 口 
令 ， 使 用 后 作废 ， 口 令 长 度 通常 为 6 ~8 个 数字 ， 使 用 方便 ， 与 通常 的 静态 口令 认证 方 
式 类 似 ， 使 用 方便 与 系统 集成 好 ， 因 此 OTP 动态 口令 技术 的 应 用 非常 普遍 ， 可 以 应 用 
于 多 种 系统 渠道 使 用 ， 如 WEB 应 用 、 手 机 应 用 、 电 话 应 用 、ATM 自助 终端 等 。 动 态 口 
令 的 同步 机 制 有 3 种 ， 即 时 间 型、 事件 型 和 挑战 与 应 答 型 ， 目 前 应 用 最 多 的 是 时 间 型 动 
态 口令 ， 挑 战 与 应 答 型 动态 口令 的 应 用 也 逐渐 增多 ， 并 且 动 态 口 令 逐 渐变 为 多 种 同步 类 
型 复合 的 机 制 发 展 ， 如 时 间 + 挑战 与 应 答 型 。 

5S. USB Key 

基于 USB Key 的 身份 认证 方式 是 近 几 年 发 展 起 来 的 一 种 方便 、 安 全 的 身份 认证 技 
术 。 它 采用 软 硬 件 相 结 合 、 一 次 一 密 的 强 双 因子 认证 模式 ,很 好 地 解决 了 安全 性 与 易 用 
性 之 间 的 矛盾 。 
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USB Key 是 一 种 有 USB 接口 的 硬件 设备 。 它 内 置 单片机 或 智能 卡 芯 片 ， 有 一 定 的 
存储 空间 ， 可 以 存储 用 户 的 私 钥 以 及 数字 证 书 ， 利 用 USB Key 内 置 的 公 钥 算法 实现 对 
用 户 身 份 的 认证 。 由 于 用 户 私 钥 保 存在 密码 锁 中 ， 理 论 上 使 用 任何 方式 都 无 法 读 取 ， 因 
此 保证 了 用 户 认 证 的 安全 性 。USB Key 产品 最 早 是 由 加 密 锁 厂商 提出 来 的 ， 原 先 的 USB 
加 密 锁 主 要 用 于 防止 软件 破解 和 复制 ， 保 护 软件 不 被 盗版 ， 而 USB Key 的 目的 不 同 ， 
它 主要 用 于 网 络 认证 ， 锁 内 主要 保存 数字 证 书 和 用 户 私 钥 。USB Key 也 叫 UKEY 、US- 
BKey、USB Token， 国 内 习惯 翻译 成 U 盾 , 或 者 优 盾 。 

USB Key 是 一 种 有 USB 接口 的 小 巧 硬 件 设备 ， 形 装 与 常见 的 U 盘 相 似 。USB Key 
的 内 部 结构 复杂 ， 内 置 CPU 、 存 储 器 、 世 片 操 作 系统 (COS) ， 可 以 存储 用 户 的 密 钥 或 
数字 证 书 ， 可 利用 USB Key 内 置 的 密码 算法 实现 对 用 户 身 份 的 认证 。 每 一 个 USB Key 
都 具有 硬件 PIN 码 保护 ，PIN 码 和 硬件 构成 用 户 使 用 USB Key 的 必要 因素 。 用 户 只 有 同 
时 取得 了 USB Key 和 用 户 PIN 码 ， 才 可 以 登录 系统 。 即 使 用 户 的 PIN 码 被 泄漏 ， 只 要 用 
户 持 有 的 USB Key 不 被 盗 取 ， 合 法 用 户 的 身份 就 不 会 被 仿冒 ; 如果 用 户 的 USB Key 遗 
失 ， 拾 到 者 由 于 不 知道 用 户 PIN 码 ， 也 无 法 仿冒 合法 用 户 的 身份 。USB Key 具有 安全 数 
据 存 储 空间 ， 可 以 存储 数字 证 书 、 密 钥 等 秘密 数据 ， 对 该 存储 空间 的 读 写 操作 必须 通过 
程序 实现 ， 用 户 无 法 直接 读 取 ， 其 中 用 户 密 钥 是 不 可 导出 的 ， 杜 绝 了 复制 用 户 数字 证 书 
或 身份 信息 的 可 能 性 。USB Key 内 置 CPU， 可 以 实现 加 解密 和 签名 的 各 种 算法 ， 加 解密 
运算 在 USB Key 内 进行 ,保证 了 密 钥 不 会 出 现在 计算 机 内 存 中 ， 从 而 杜绝 了 用 户 密 钥 
被 黑客 截取 的 可 能 性 。 

USB Key 有 一 代 、 二 代 、 三 代 的 说 法 ， 最 早出 现 的 是 一 代 USB Key (普通 型 Key ) ， 
普通 型 USB Key 系列 产品 是 智能 密码 钥匙 产品 ， 无 驱 无 软 ， 即 插 即 用 ， 无 须 手 工 操作 便 自 
动 运行 。 采 用 了 集成 USB 控制 器 和 CPU 智能 卡 的 单 芯 片 技术 ， 为 产品 的 先进 性 和 稳定 性 
莫 定 了 良好 的 基础 。 普 通 型 USB Key 系列 产品 所 具有 的 数据 加 解密 和 口令 安全 存储 功能 ， 
解决 了 人 们 对 信息 安全 管理 的 需要 。 普 通 型 USB Key 系列 产品 采用 标准 USB 接口 ， 外 形 
小 巧 ， 便 于 携带 与 使 用 。 二 代 USB Key (显示 型 Key) 显示 型 系列 产品 是 高 安全 性 能 智 
能 密码 钥匙 产品 ， 它 在 实现 普通 USB Key 所 有 功能 的 基础 上 ,运用 “HIP 人 机 交互 技 
术 ”， 实 现 USB Key 和 用 户 的 直接 交流 ， 从 而 有 效 的 防御 “远程 劫持 ”和 “数据 算 改 ” 
等 黑客 攻击 手段 ， 确 保 用 户 交 易 的 安全 性 。 三 代 USB Key ( 音 码 Key) : 音 码 型 系列 产 
品 是 为 满足 手机 银行 等 应 用 而 产生 ， 在 普通 型 系列 产品 基础 上 增加 了 音 码 转 接头 外 设 ， 
使 得 音 码 型 系列 产品 除 用 于 电脑 端的 网 上 银行 外 ， 也 支持 手机 端的 手机 银行 应 用 并 使 得 
手机 银行 的 终端 安全 达到 二 代 Key 水 平 。 一 代 Key 主要 应 用 于 各 个 国有 和 银行、 商业 银行 
的 存量 客户 ， 安 全 性 已 经 不 够 ,在 逐步 替换 更 新 为 二 代 、 三 代 。 


18.3.3 身份 鉴别 中 的 生物 识别 技术 


生物 识别 技术 是 指 通过 可 测量 的 身体 或 行为 等 生物 特征 进行 身份 认证 的 一 种 技术 。 
生物 特征 是 指 唯一 的 、 可 以 测量 或 可 自动 识别 和 验证 的 生理 特征 或 行为 方式 。 使 用 传 感 
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器 或 者 扫描 仪 来 读 取 生 物 的 特征 信息 ， 将 读 取 的 信息 和 用 户 在 数据 库 中 的 特征 信息 比 
对 ， 如 果 一 致 则 通过 认证 。 

生物 特征 分 为 身体 特征 和 行为 特征 两 类 。 身 体 特征 包括 声 纹 (d-ear) 、 指 纹 、 掌 
型 、 视 网 膜 、 虹 膜 、 人 体 气味 、 脸 型 、 手 的 血管 和 DNA 等 ; 行为 特征 包括 签名 、 语 音 、 
行走 步 态 等 。 目 前 部 分 学 者 将 视网膜 识别 、 虹 膜 识别 和 指纹 识别 等 归 为 高 级 生物 识别 技 
术 ; 将 掌 型 识别 、 脸 型 识别 、 语 音 识别 和 签名 识别 等 归 为 次 级 生物 识别 技术 ; 将 血管 纹 
理 识别 、 人 体 气 味 识别 、DNA 识别 等 归 为 “深奥 的 ”生物 识别 技术 。 

目前 使 用 最 多 的 是 指纹 识别 技术 ， 应 用 的 领域 有 门禁 系统 、 微 型 支付 等 。 日 常 使 用 
的 部 分 手机 和 笔记 本 电脑 已 具有 指纹 识别 功能 ， 在 使 用 这 些 设备 前 ， 无 须 输入 密码 ， 只 
要 将 手指 在 扫描 器 上 轻 轻 一 按 就 能 进入 设备 的 操作 界面 ， 非 常 方便 ， 而 且 别 人 很 难 
复制 。 

下 面 就 在 银行 系统 使 用 最 为 广泛 的 指纹 识别 技术 和 最 近 发 展 比较 快 的 人 脸 识 别 技术 
做 简单 介绍 。 

1. 指纹 识别 技术 

站 纹 识别 即 指 通过 比较 不 同 指 纹 的 细节 特征 点 来 进行 鉴别 。 指 纹 识别 技术 涉及 图 像 
处 理 、 横 式 识别 、 计 算 机 视觉 、 数 学 形态 学 、 小 波 分 析 等 众多 学 科 。 由 于 每 个 人 的 指纹 
不 同 ， 就 是 同一 人 的 十 指 之 间 ， 指 纹 也 有 明显 区 别 ， 因 此 指纹 可 用 于 身份 鉴定 。 由 于 每 
次 探 印 的 方位 不 完全 一 样 ， 着 力 点 不 同 会 带 来 不 同 程度 的 变形 ， 又 存在 大 量 模糊 指纹 ， 
如 何 正 确 提取 指纹 特征 和 实现 正确 匹配 ， 是 指纹 识别 技术 的 关键 。 

2. 人 脸 识 别 技术 

人 脸 识 别 技术 是 基于 人 的 脸 部 特征 ， 对 输入 的 人 脸 图 像 或 者 视频 流 ， 首 先 判断 其 是 
否 存在 人 脸 ， 如 果 存 在 人 脸 ， 则 进一步 地 给 出 每 个 脸 的 位 置 、 大 小 和 各 个 主要 面部 顺 官 
的 位 置信 息 。 并 依据 这 些 信息 ， 进 一 步 提取 每 个 人 脸 中 所 蕴含 的 身份 特征 ， 并 将 其 与 已 
知 的 人 脸 进 行 对 比 ， 从 而 识别 每 个 人 脸 的 身份 。 

广义 的 人 脸 识别 实际 包括 构建 人 脸 识 别 系统 的 一 系列 相关 技术 ,包括 人 脸 图 像 采 
集 、 人 脸 定位 、 人 脸 识 别 预 处 理 、 身 份 确认 及 身份 查找 等 ; 而 狭义 的 人 脸 识 别 特 指 通过 
人 脸 进 行 身份 确认 或 者 身份 查找 的 技术 或 系统 。 


18.3.4 应 用 范围 


身份 认证 技术 在 银行 信息 系统 中 的 应 用 极其 广泛 ， 对 内 的 工作 系统 和 对 外 的 业务 系 
统 均 有 使 用 ， 几 乎 遍及 每 个 系统 。 

以 对 外 系统 为 例 ， 每 个 账号 或 者 银行 卡 均 有 一 个 基本 的 密码 ， 这 个 属于 静态 密码 。 
在 网 银 等 业务 中 ,重要 业务 安全 靠 静 态 密码 是 无 法 保证 的 ,一般 采 用 双 因 素 甚至 三 因 
素 。 在 双 因 素 中 ， 账 号 密码 或 者 卡 密码 是 其 中 一 个 因素 ， 另 外 一 个 因素 一 般 有 USB 
Key、OTP 动态 令 牌 、 短 信和 验证 码 等 。 
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各 安全 工具 的 安全 级 别 、 易 用 性 和 使 用 建议 如 表 18-1 所 示 。 
表 18-1 电子 银行 渠道 安全 工具 使 用 建议 


安全 工具 。 | 级 别 | 易 用 性 集成 建议 
卡 交易 密码 “| 弱 | 易 否 建议 作为 辅助 的 第 二 渠道 认证 方式 
手机 短信 动态 密码 | 弱 | 易 否 建议 作为 辅助 的 第 二 渠道 认证 方式 
OP 令 牌 (时 间 型 ) | 弱 | 易 否 强 认证 工具 .建议 配合 第 二 渠道 认证 方式 共同 使 
OTP 令 牌 (复合 型 ) | 较 弱 | 较 易 否 强 认证 工具 .建议 配合 第 二 渠道 认证 方式 共同 使 
一 代 USB Key | 较 强 | 较 难 否 强 认证 工具 ,建议 配合 第 二 渠道 认证 方式 共同 使 
二 代 USB Key 强 难 是 强 认 证 工具 ,可 独立 使 用 


动态 口令 和 PKI 技术 作为 主流 的 强 认 证 方式 ， 在 安全 特性 、 客 户 体验 、 渠 道 适用 性 
等 方面 存在 一 定 的 差异 。 对 OTP 令 牌 和 USB Key 的 安全 特性 进行 比较 ， 见 表 8-2 ， 银 行 
应 根据 自身 的 业务 策略 来 选择 相关 技术 。 
硬件 安全 设备 特性 比较 


表 18-2 


安全 工具 安全 威胁 | OTP 令 牌 ( 时 间 型 ) | OTP 令 牌 (复合 型 ) 一 代 USB Key 二 代 USB Key 
键盘 记录 OK OK OK OK 
网 络 嗅 探 OK OK OK OK 
强力 破解 OK OK OK OK 
网 络 钓鱼 No OK OK OK 
中 间 人 攻击 No OK No OK 
远程 劫持 OK OK No OK 
交易 算 改 No OK OK OK 
交易 抵赖 No No OK OK 


18.4 案例 介绍 : 


密码 技术 在 银行 系统 的 应 用 实践 


互联 网 、 电 子 商务 的 发 展 ， 促 进 了 金融 服务 形式 的 创新 ， 网 上 银行 就 是 这 种 创新 的 
具体 应 用 之 一 。 如 今 人 们 只 需 通 过 一 台 联 网 的 计算 机 ， 便 可 享受 到 许多 理财 服务 ， 如 查 
询 、 代 收费 、 转 账 、 挂 失 、 咨 询 、 投 诉 等 。 然 而 ， 网 络 的 开放 性 与 共享 性 也 导致 了 网 络 
的 安全 性 受到 严重 影响 ， 如 何 保证 网 上 数据 的 安全 和 交易 对 方 的 身份 确认 是 网 上 银行 能 
否 得 以 推广 的 关键 。 可 以 说 ， 网 上 银行 最 关键 的 问题 就 是 安全 问题 。 密 码 技术 的 发 展 和 
应 用 ， 有 助 于 解决 网 上 银行 安全 问题 ， 对 保证 交易 信息 安全 是 必 不 可 少 的 。 

1. 密码 技术 的 选用 和 密 钥 长 度 的 选择 

应 用 系统 研发 中 若 有 涉及 对 数据 的 加 密 / 解 密 、 签 名 / 验 签 和 完整 性 保护 等 安全 功 
能 ， 应 从 以 下 密码 算法 中 选用 ( 表 18-3 ) 。 
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表 18-3 密码 算法 


密码 算法 
允许 最 短 密 钥 长 度 
算法 类 型 算法 名 称 
对 称 密码 算法 3DES/SM4 112 位 
非 对 称 密码 算法 RSA/SM2 2048 位 
散 列 算法 SHA-1/SM3 不 涉及 密 钥 


2. 应 用 场景 
应 用 系统 中 所 使 用 的 加 密 技 术 通 常 是 基于 上 述 各 类 密码 算法 的 组 合 ， 各 类 主要 加 密 
技术 使 用 到 的 密码 算法 类 型 ， 详 见 表 184。 
表 18-4 密码 算法 对 应 表 


加 密 技术 使 用 算法 类 型 使 用 算法 举例 功能 说 明 
HTTPS/SSL | 对 称 密码 算法 、 非 对 称 密码 算法 3DES/SM4 .RSA/SM2 建立 端 到 端的 安全 通道 
数字 签名 非 对 称 密码 算法 . 散 列 算法 RSA/SM2 \.SHA-1/SM3 身份 鉴别 防 算 改 . 抗 抵赖 等 
MAC 对 称 密码 算法 3DES/SM4 防 算 改 


18. 4.1 密码 技术 中 的 身份 鉴别 


对 于 各 类 身份 鉴别 信息 (如 用 户 身 份 鉴别 信息 和 服务 器 之 间 的 身份 鉴别 信息 ) 的 
传输 和 存储 过 程 ， 应 使 用 密码 算法 进行 加 密 ， 以 确保 安全 。 

1. 鉴别 信息 加 密 传输 

1) 当 使 用 到 普通 口令 、 物 理 介质 、 动 态 口令 方式 时 ， 若 涉及 口令 的 传输 ， 应 使 用 
以 下 安全 方式 加 密 传 输 。 

QD 使 用 对 称 密码 算法 (3DES/SM4 算法 ) 或 散 列 算法 (SHA-1/SM3 算法 ) 加 密 。 

@ 采用 HTTPS/SSL 协议 。 

2) 当 使 用 基于 PKI 机 制 的 鉴别 方式 时 ， 申 请 验证 客户 端 /服务 器 应 使 用 私 钥 对 特 
定 信息 加 密 ， 传 输 到 验证 服务 器 ， 由 验证 服务 器 使 用 对 方 公 钥 解 密 验 证 。 

2. 鉴别 信息 加 密 存储 

1) 当 使 用 到 普通 口令 、 物 理 介质 、 动 态 口 令 鉴 别 方式 时 ， 若 涉及 口令 的 存储 ， 应 
使 用 以 下 安全 方式 加 密 存 储 ， 且 存储 加 密 与 传输 加 密 宜 采用 不 同 的 密 钥 。 

QD 使 用 对 称 密码 算法 (3DES/SM4 算法 ) 加 密 ， 需 要 做 鉴别 信息 验证 时 ， 直 接 验 
证 密 文 。 

@) 使 用 散 列 算法 (SHA-1/SM3 算法 ) 加 密 ， 需 要 做 鉴别 信息 验证 时 ， 直 接 验证 散 
列 值 。 

2) 当 使 用 基于 PKI 机 制 的 鉴别 方式 时 ， 宜 将 私 钥 保存 在 智能 卡 、USB Key 或 证 书 
文件 中 。 
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3. 数据 安全 性 

1) 通信 数据 机 密 性 保护 方式 。 应 用 系统 内 或 应 用 系统 间 传 输 的 业务 敏感 数据 ， 可 
采用 以 下 方式 进行 机 密 性 保护 。 

Q 使 用 对 称 密码 算法 (3DES/SM4 算法 ) 或 散 列 算法 (SHA-1/SM3 算法 ) 加 密 敏 
感 数据 。 

@ 使 用 对 称 密码 算法 (3DES/SM4 算法 ) 加 密 传输 报 文 ， 采 用 HTTPS/SSL 协议 对 
所 有 通信 数据 加 密 。 

2) 不 同 场景 的 选用 要 求 。 

@ 内 网 传输 时 ， 各 等 级 的 信息 系统 应 选用 以 上 任意 一 种 方式 对 敏感 数据 进行 机 密 
性 保护 。 

@) 通过 互联 网 对 外 (如 第 三 方 合作 单位 或 个 人 /企业 客户 ) 提供 服务 时 ， 重 要 应 用 
系统 应 选用 后 两 种 方式 之 一 对 传输 的 所 有 数据 进行 机 密 性 保护 ; 次 重要 应 用 系统 应 选用 
任意 一 种 方式 对 传输 的 敏感 数据 进行 机 密 性 保护 。 

@) 通过 专线 网 络 对 外 (如 第 三 方 合作 单位 或 个 人 /企业 客户 ) 提供 服务 时 ， 应 选用 
以 上 任意 一 种 方式 对 传输 的 敏感 数据 进行 机 密 性 保护 。 


18.4.2 密码 通信 数据 完整 性 保护 的 应 用 


人 
用 系统 内 或 应 用 系统 间 传 输 的 业务 敏感 数据 ， 除 了 采用 通信 协议 和 普通 校 验 码 
证 ein 还 应 对 关键 系统 采用 以 下 加 密 技 术 进行 完整 
性 保护 。 
1) 散 列 值 。 选 取 通信 和 包 中 的 全 部 (或 关键 ) 数据 字段 用 散 列 算法 (SHA1) 计算 
、 随 其 他 通信 数据 发 送 给 接收 方 ， 由 接收 方 重新 计算 并 核对 ， 以 检查 其 完整 性 是 
遭 到 破坏 。 
2) 安全 校 验 码 (MAC)。 选 取 通 信 包 中 的 全 部 (或 关键 ) 数据 字段 ， 使 用 对 称 密 
码 算法 (3DES/SM4) 计算 安全 校 验 码 (MAC) ， 并 随 其 他 通信 数据 发 送 给 接收 方 ， 由 
接收 方 重新 计算 并 核对 ， 以 检查 其 完整 性 是 否 遭 到 破坏 。 
3) 数字 签名 。 选 取 通 信和 包 中 的 全 部 (或 关键 ) 数据 字段 ， 使 用 散 列 算法 (SHA1) 
和 非 对 称 密码 算法 (RSAASM2) 计算 数字 签名 ， 并 随 其 他 通信 数据 发 送 给 接收 方 ， 由 
接收 方 重新 计算 并 核对 ， 以 检查 其 完整 性 是 否 遭 到 破坏 。 
2. 不 同 场景 的 选用 要 求 
内 网 传输 时 ， 对 于 主机 应 用 系统 和 重要 开放 平台 应 用 系统 间 的 通信 可 选择 任意 一 种 
方式 对 敏感 数据 做 完整 性 保护 。 
1) 通过 互联 网 对 外 〈 如 第 三 方 合作 单位 或 个 人 /企业 客户 ) 提供 服务 时 ， 次 重要 
级 开放 平台 应 用 系统 应 采用 安全 校 验 码 (MAC) 或 数字 签名 方式 对 敏感 数据 做 完整 性 
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保护 ， 且 应 支持 密 钥 / 证 书 的 更 换 ;， 重要 级 开放 平台 应 用 系统 应 采用 数字 签名 方式 对 传 
输 的 敏感 数据 做 完整 性 保护 ， 且 应 支持 密 钥 /证 书 的 更 换 。 

2) 通过 专线 网 络 对 外 〈 如 第 三 方 合作 单位 或 个 人 /企业 客户 ) 提供 服务 时 ， 重 要 
级 开放 平台 应 用 系统 应 采用 安全 校 验 码 (MAC) 或 数字 签名 方式 对 敏感 数据 做 完整 性 
保护 ， 且 应 支持 密 钥 /证 书 的 更 换 。 

3. 存储 数据 的 机 密 性 保护 

对 于 主机 应 用 系统 和 重要 级 开放 平台 应 用 系统 的 敏感 数据 ， 应 使 用 对 称 密码 算法 
(3DES/SM4) 加 密 存 放 。 

4. 剩余 信息 保护 

数据 加 密 / 解 密 、 签 名 / 验 签 等 程序 中 ， 用 于 和 暂时 存放 密 钥 的 内 存 ， 使 用 前 应 做 初始 
化 处 理 ， 在 使 用 完 应 将 其 空间 内 容 全 部 清除 。 


18.4.3 银行 国 密 算 法 改造 实例 


1. 背景 


互联 网 安全 日 益 重 要 ， 随 着 密码 技术 和 计算 技术 发 展 ， 国 内 密码 领域 所 广泛 采用 的 
1024 位 RSA 密码 正在 面临 严峻 的 安全 挑战 ， 基 于 椭圆 曲线 的 密码 算法 作为 高 安全 性 、 
高 效率 的 公 角 密码， 具备 和 RSA 算法 同样 的 加 /解密 、 电 子 签名 和 密 钥 协 商 等 重要 的 密 
码 功能 ， 但 与 RSA 相 比 ， 它 拥有 更 强 的 安全 性 、 更 高 的 运算 性 能 等 优点 。 

为 了 提升 商业 密码 的 安全 性 ， 大 力 推广 国 密 算法 SM2、SM3 、SM4 的 应 用 和 落实 
中 办 机 要 局 起 草 了 《2013 年 金融 信息 系统 国产 密码 算法 应 用 实施 工作 安排 )， 要 求 商业 
银行 在 2013 年 年 底 前 ， 在 基础 软 硬 件 产品 符合 应 用 需求 的 前 提 下 ， 完 成 对 网 银 相 关 应 
用 软件 进行 适应 性 改造 和 验证 。 某 股份 制 银行 A 行 响应 国家 要 求 ， 实 施 国 密 算 法 改造 。 

2. 改造 内 容 

1) 改造 数字 证 书 系统 。 

Q 升级 XX 银行 网 上 银行 PKI 证 书 发 放 管 理 系统 ， 使 其 全 面 支持 国 密 SM2 、SM3 、 
SM4 算法 ; 

@) 升级 民 XX 行 网 上 银行 数字 证 书 应 用 程序 ， 在 电子 签名 、 证 书 验 签 、 数 字 信封 、 
密 钥 协商 及 双向 证 书 认 证 支持 基于 SM2 算法 的 证 书 及 协议 ; 

2) 改造 动态 令 牌 系统 。 

GD 改造 离线 密 钥 系统 ， 完 成 银行 主 密 钥 和 厂商 密 钥 生 成 和 导出 功能 改造 ， 使 其 支 
持 国 密 SM4 算法 。 

@ 改造 管理 平台 ， 完 成 动态 令 牌 密 钥 种 子 生成 和 密 钥 种 子 转 密 算法 改造 算法 ， 使 
其 支持 国 密 SM4 算法 。 

@) 增加 动态 口令 生成 算法 ， 使 其 支持 国 密 SM4 算法 。 
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3. 数字 证 书 改造 方案 

1) SSL 安全 通讯 。SSL 安全 通讯 采用 SM2 证 书 ， 采 用 SSL 单 向 认证 〈 应 用 中 间 件 、 
网 络 设备 、 浏 览 器 均 需 支持 SM2 证 书 ) 。 

2) 里 份 认证 。 客 户 端 认证 : 客户 端 数字 证 书 采 用 CFCA 国 密 SM2 数字 证 书 。 

3) USB Key。 采 用 支持 国 密 算法 的 USB Key。 

4) 签名 、 验 证 。 采 用 支持 国 密 算法 的 签名 控件 对 信息 进行 签名 并且 采用 支持 国 
密 算法 的 验 签 服务 器 对 信息 进行 验 签 。 

5) 加 密 、 解 密 。 采 用 支持 国 密 算法 的 工具 包 组 件 对 信息 进行 加 密 、 解 密 。 

数字 证 书 改造 的 网 络 拓扑 图 如 图 18-7 所 示 。 


网 银 客户 网 银 系 统 CFCA 
砍 汶 用 
3 全 
WS C/S 
银行 柜 面 i 


安保 
调用 签名 验 签 
服务 器 接口 


用 户 USB Key 
(二 代 Key) | 他 预 植 server 


验 签 服务 器 


图 18-7 数字 证 书 改造 的 网 络 拓扑 


4. OTP 令 牌 改造 方案 (图 18-8) 

1) 离线 密 钥 系统 升级 。 

Qa 将 银行 主 密 钥 生 成 算法 改 为 国 密 算法 SM4 。 

@) 将 厂商 密 钥 生成 算法 改 为 国 密 算法 SM4 。 

@) 动态 令 牌 软 令 牌 国 密 算 法 SM4 实现 。 

2) 客户 安全 平台 管理 平台 系统 升级 。 

@ 导入 主 密 钥 功 能 ， 增 加 导入 SM4 算法 生成 的 主 密 钥 功能 。 

@ 导入 厂商 密 钥 功 能 ， 增 加 导入 SM4 算法 生成 的 厂商 密 钥 功 能 。 
@) 令 牌 密 钥 种 子 生成 算法 改 为 SM4 算法 。 

@ 令 牌 种 子 转 密 算 法 改 为 SM4 算法 。 

@) 管理 平台 动态 令 牌 测试 管理 。 

3) 客户 安全 平台 认证 系统 升级 。 增 加 生成 动态 口令 算法 (SM4)。 


器 
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4) 令 牌 厂商 转 密 系 统 升 级 。 厂 商 密 钥 种 子 解密 算法 升级 。 
5) 集成 调试 。 此 次 改造 涉及 离线 密 钥 系统 、 客 户 安全 平台 管理 平台 、 客 户 安 全 平 
合 认证 平台 、 动 态 令 牌 生产 厂商 、 动 态 令 牌 设备 测试 。 


图 18-8 ”OTP 金牌 改造 方案 


5. 总 结 

通过 对 数字 证 书 和 令 牌 口令 的 改造 ，A 行 成 功 实现 了 国产 加 密 算法 的 支持 ， 为 国家 
金融 的 安全 做 出 应 有 的 贡献 。 

密码 技术 在 银行 体系 中 的 应 用 范围 非常 广 ， 是 信息 安全 的 重要 基石 ， 国 密 算 法 的 使 
用 对 国家 金融 安全 非常 关键 ， 使 用 范围 会 越 来 越 广泛 。 从 业 人 员 必 须 了 解密 码 的 原理 和 
应 用 特点 ， 根 据 实 际 业 务 需求 ， 选 择 合 适 的 密码 技术 来 保证 业务 的 安全 。 


18.4.4 加 密 机 在 银行 中 的 应 用 


随 着 银行 业务 电子 化 和 网 络 化 的 发 展 ， 加 密 机 早已 经 深入 应 用 于 各 银行 业务 的 数据 安全 体 
系 中 。 

1. 加 密 机 的 功能 

加 密 机 的 主要 功能 有 以 下 两 种 。 

1) 支持 对 PIN 的 所 有 操作 。 如 产生 PIN、 打 印 PIN、 转 换 PIN、 加 密 PIN 及 转换 
PIN 的 保护 密 钥 、 校 验 PIN、 产 生 MAC、 验 证 MAC、 验 证 并 转换 MAC、MASTER 卡 
CVC ( 卡 有 效 码 ) 、VISA 卡 CVV ( 卡 校 验 值 ) 、PIN 偏 移 量 Offset 处 理 机 制 等 。 

2) 支持 非 对 称 算法 。 如 产生 非 对 称 算法 的 密 钥 对 、 能 够 使 用 公 钥 加 密 、 使 用 私 角 
解密 、 使 用 密 钥 进 行 数字 签名 、 使 用 密 钥 进行 签名 验证 、 将 密 文 数据 在 两 个 公 钥 间 进 行 
密 文 转换 等 。 
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2. 加 密 机 在 发 卡 系统 中 的 作用 

发 卡 系统 包含 主机 (或 服务 器 )、 打 卡 机 、 加 密 机 和 密码 信封 打印 机 。 图 18-9 显 
示 了 这 些 设备 在 发 卡 系统 中 的 关系 。 

发 卡 过 程 分 为 预 发 卡 和 打卡 两 个 阶段 。 el 
在 预 发 卡 阶段 ， 主 机 产生 将 要 发 的 每 张 IC pen 
卡 的 私有 信息 (如 密 钥 的 产生 、 数 字 签名 、 A 
初始 密码 等 ) ， 这 些 私密 信息 全 部 由 主机 调 
用 加 密 机 产生 并 进行 加 密 处 理 。 在 打卡 阶 
段 ， 发卡 系 统 完成 卡片 的 私有 化 工作 ， 包 
括 将 私有 信息 写 入 卡片 及 其 他 卡片 的 制作 打印 机 
工作 。 在 有 需要 的 情况 下 ， 可 以 提供 密码 图 18-9 ”发 卡 系统 中 各 设备 的 关系 
打印 ， 密 码 信 封 的 打印 是 使 用 连接 在 加 密 
机 上 的 密码 信封 打印 机 完成 ， 以 保证 用 户 密码 的 安全 。 

3. 加 密 机 在 交易 系统 中 的 应 用 

在 联机 交易 中 ， 加 密 机 保证 交易 数据 的 私密 性 (关键 信息 加 密 ) 和 完整 性 (MAC 
计算 和 校 验 ) ， 并 在 发 卡 行 主机 端 完 成 相应 的 认证 功能 。 

终端 发 起 的 连接 交易 需要 经 过 前 置 机 及 相关 中 转机 构 ( 收 单行 及 银联 等 金融 

网 络 机 构 ) 到 达 发 卡 行业 务 系统 。 在 每 一 个 交易 节点 均 需 要 加 密 机 来 保证 交易 的 完整 
行 、 保 密 性 等 功能 ， 如 图 18-10 所 示 。 


个 前 置 机 县 有 


18-10 加 密 机 的 工作 流程 


卡 服 务 器 


发 卡 机 加 密 机 


18.4.5 密 钥 管理 平台 


当前 ， 金 融 业 大 规模 采用 密码 技术 为 关键 信息 资产 提供 保密 性 、 完 整 性 和 可 用 性 的 
保护 ， 大 多 使 用 密 钥 集中 管理 平台 ， 为 银行 各 业务 系统 提供 密 钥 全 生命 周期 的 安全 
管理 。 

密 钥 集 中 管理 平台 主要 是 针对 银行 提供 的 一 套 对 称 密 钥 体系 的 集中 密 钥 管 ee 
提供 密 钥 的 生成 、 分 发 、 更 新 、 存 储 、 注 销 和 使 用 的 全 生命 周期 管理 ， 实 现 了 密 钥 、 
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钥 使 用 策略 和 密码 设备 的 集中 管理 ， 为 不 同 的 业务 系统 提供 统一 和 高 性 能 的 密 钥 服务 。 

密 钥 集 中 管理 平台 从 逻辑 上 分 为 
三 层 : 平台 接口 层 、 平 台 服 务 层 和 平 
台 设 备 层 ， 如 图 18-11 所 示 。 平台 接 
口 层 主要 为 业务 系统 提供 各 种 统一 的 
开发 接口 ; 平台 服务 层 是 整个 系统 的 
核心 层 ， 负 责 在 平台 接口 层 和 平台 设 
备 层 之 间 搭 建 一 个 信息 处 理 通道 ; 平 
台 设 备 层 集 中 管理 平台 所 调用 的 所 有 
密码 设备 ， 并 且 动 态 调用 密码 设备 进 
行 密 钥 的 管理 操作 。 ey ey 密码 设备 N 

密 钥 集中 管理 平台 采用 三 级 密 钥 
体系 对 密 钥 进行 管理 (图 18-12 ) ， 
包括 本 地 主 密 钥 (LMK)、 传 输 主 密 
钥 (ZMK、TMK 等 ) 和 工作 密 钥 (ZPK、ZAK、TPK、TAK 等 ) 。 其 中 本 地 主 密 钥 用 于 
加 密 密 钥 ， 传 输 主 密 钥 和 工作 密 钥 用 作 本 地 存储 ; 传输 主 密 钥 也 成 为 密 钥 加 密 密 钥 
(KEK) ， 用 于 加 密 在 网 络 中 需要 传递 的 工作 密 钥 ， 从 而 实现 数据 密 钥 的 自动 分 配 ， 不 
同 的 两 个 通讯 网 点 使 用 不 同 的 密 钥 加 密 密 钥 ， 从 而 实现 密 钥 的 分 工 管理 ; 工作 密 钥 用 于 
应 用 系统 与 终端 〈 机 构 ) 之 间 的 PIN 转换 、MAC 校 验 、 报 文 加 解密 等 。 

密 钥 集中 管理 平台 对 外 提供 的 接口 功能 主要 包括 : 传输 主 密 钥 的 生成 和 更 新 、 工 作 


平台 接口 层 


图 18-11 密 钥 集中 管理 平台 的 逻辑 结构 


本 地 主 密 钥 LMK ] 
传输 主 密 钥 zvk | Mk | 


工作 密 钥 AK ZPK TAK TPK 


图 18-12” 密 钥 集 中 管理 平台 的 三 级 密 钥 体 系 管理 
密 钥 的 生成 和 更 新 、 密 钥 的 重 置 和 注销 、PIN 转换 、MAC 生成 和 校 验 等 。 
密 钥 集 中 管理 平台 具有 以 下 特点 : 
1) 实现 密 钥 的 生成 、 分 发 、 更 新 、 存 储 、 注 销 和 使 用 的 全 生命 周期 的 管理 。 
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2) 提供 简单 易 用 的 密 钥 服务 接口 。 

3) 实现 密 钥 及 密 钥 使 用 策略 的 集中 管理 和 密 钥 的 安全 存储 。 

4) 实现 了 密码 设备 的 集中 管理 。 

密 钥 集中 管理 平台 不 但 实现 了 密 钥 及 密 钥 使 用 策略 的 集中 管理 ， 还 实现 了 对 密码 设 
备 的 集中 管理 ， 主 要 包括 密码 设备 的 动态 添加 和 删除 ， 对 密码 设备 的 调用 进行 负载 均 
衡 ; 密码 设备 运行 状态 及 压力 情况 的 实时 监控 。 当 前 的 密 钥 集 中 管理 平台 在 支持 国际 通 
用 密码 算法 的 基础 上 ,全面 支 持 国 家 密码 管理 局 公布 的 SM3 和 SM4 等 国产 密码 算法 ， 
为 银行 信息 安全 建设 提供 必 不 可 少 的 安全 支持 。 


18.5 案例 介绍 ， 身份 鉴别 技术 在 银行 系统 中 的 应 用 实践 


18.5.1 身份 鉴别 技术 在 网 银 中 的 应 用 


某 商 业 银行 推出 网 银 系 统 ， 该 系统 的 身份 认证 主要 有 两 个 地 方 : 登录 和 支付 。 登 录 
部 分 主要 使 用 静态 密码 + USB Key 认证 ， 支 付 部 分 则 采用 双 因 子 认证 : 用 卡 密码 + USB 
KeyZOTP 令 牌 /短信 密码 。 

(1) 网 银 登录 场景 ”在 网 银 登 录 页 面 提示 客户 安装 密码 安全 控件 和 签名 控件 。 客 
户 插 入 USB Key 后 ， 系 统 根据 证 书 DN 信息 查询 签约 的 网 银 登 录用 户 名 ， 客 户 输入 登录 
密码 和 图 形 验证 码 进 行 登录 。 客 户 也 可 以 直接 输入 登录 名 或 签约 卡号 直接 登录 。 

客户 输入 的 登录 密码 使 用 密码 控件 和 公 钥 进行 加 密 ， 加 密 原 文中 包含 随机 数 等 信息 
保证 客户 端 输入 信息 安全 。 

(2) 网 银 转 账 场景 ”客户 在 转账 页 面 输入 转账 金额 、 收 款 人 账号 和 户 名 ， 提 交 后 ， 
网 银根 据 客户 的 操作 系统 、 浏 览 嚣 、 转 账 金额 大 小 、 转 出 账号 开户 号 、 是 否 同名 转账 和 
客户 已 签约 的 安全 工具 (USB Key/OTP 令 牌 /短信 密码 ) ， 列 出 客户 可 选择 的 安全 工具 
列表 ， 由 客户 进行 选择 ， 客 户 提交 申请 并 使 用 相应 的 安全 工具 进行 身份 认证 和 交易 
签名 。 


18. 5.2 身份 鉴别 技术 在 手机 银行 系统 中 的 使 用 


某 商 业 银行 鉴于 智能 手机 的 发 展 推出 手机 银行 ， 该 手机 银行 是 专 为 移动 终端 客户 量 
身 定制 的 移动 金融 服务 平台 ， 包 含 丰富 的 移动 金融 服务 。 

手机 银行 系统 受 限 于 手机 系统 自身 能 力 和 插口 ， 不 能 使 用 与 网 银 相同 的 身份 认证 方 
式 ， 该 行经 过 研究 ， 制 定 针 对 性 的 业务 流程 ， 并 采用 以 卡 密码 和 短信 和 密码 为 主 的 身份 认 
证 方式 ， 主 要 应 用 于 自动 签约 手机 银行 、 登 录 、 转 账 。 

(1) 自助 签约 手机 银行 
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1) 手机 银行 根据 客户 输入 的 卡 账户 和 密码 进行 卡 密码 验证 ， 如 果 是 信用 卡 签约 ， 
先 调用 信用 卡 前 置 对 密码 密 文 进 行 转 密 ; 如 果 不 是 信用 卡 ， 调 用 客户 安全 平台 进行 
验 ， 返回 校 验 结果 。 手 机 银行 获取 卡 密码 校 验 结果 ， 如 果 校 验 失 败 ， 提 示 错 误 信息 ; 
验 通过 后 进行 客户 手机 号 确认 。 

2) 手机 银行 调用 客户 安全 平台 向 签约 手机 号 发 送 短信 激活 码 。 

3) 客户 输入 短信 激活 码 ， 调 用 客户 安全 平台 的 短信 验证 服务 ， 并 返回 得 信和 验证 
结果 。 

4) 手机 银行 获取 短信 验证 结果 ， 如 果 验 证 失败 ， 会 提示 错误 信息 ; 若 验 证 通过 ， 
则 调用 客户 安全 平台 的 设置 密码 服务 ， 并 返回 设置 结果 给 手机 银行 。 

5) 手机 银行 接收 到 密码 设置 结果 ， 显 示 给 客户 。 

(2) 手机 银行 登录 

1) 客户 在 手机 银行 系统 中 输入 登录 的 账户 和 密码 。 

2) 调用 客户 安全 平台 的 验证 登录 密码 服务 ， 对 客户 输入 的 密码 进行 验证 ， 并 返回 
验证 结果 。 

3) 手机 银行 获取 密码 验证 结果 ， 如 果 验 证 失败 ， 会 提示 错误 信息 ; 若 验证 通过 ， 
则 返回 成 功 信息 。 

(3) 客户 转账 

1) 客户 在 进行 转账 、 人 付款、 汇款、 存款、 取款、 话费 充值 、 基 金 购 买 、 基 金 定 投 
等 操作 时 需要 对 卡 PIN 进行 验证 。 

2) 客户 输入 卡号 ， 输 入 卡 PIN。 

3) 手机 银行 调用 客户 安全 平台 的 卡 PIN 验证 服务 ， 对 客户 输入 的 卡 PIN 进行 验 
证 ， 只 有 验证 通过 才能 进行 下 一 步 操作 。 


校 
校 
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数据 安全 与 备份 恢复 有 着 紧密 的 联系 ， 由 于 银行 信息 的 重要 性 ， 对 于 备份 恢复 有 着 
非常 高 的 要 求 ， 并 有 相应 的 法 规 文件 单独 要 求 ， 本 书 将 灾难 恢复 与 备份 部 分 作为 独立 一 
前 阐述 。 


19.1 数据 安全 概述 


数据 安全 通常 有 两 方面 的 含义 : 一 是 数据 本 身 的 安全 ， 主 要 是 指 采用 现代 密码 算法 
对 数据 进行 主动 保护 ， 如 数据 保密 、 数 据 完整 性 、 身 份 双向 认证 等 ， 二 是 数据 防护 的 安 
全 ， 主 要 采用 现代 信息 存储 手段 对 数据 进行 主动 防护 ， 如 通过 磁盘 阵列 、 数 据 备份 、 蜡 
地 容 灾 等 手段 保证 数据 的 安全 。 

早期 银行 的 金融 产品 相对 较 少 ， 主 要 是 以 存 贷 汇 为 主 ， 且 数据 是 以 省 (市 ) 为 单 
位 分 布 存放 ， 数 据 量 相对 较 少 ; 此 外 由 于 还 没有 数据 集中 分 析 挖 掘 的 需求 ， 日 常 处理 对 
象 主要 是 短期 之 内 的 数据 ， 时 间 跨 度 小 ， 处 理 的 数据 规模 相对 可 控 。 

随 着 各 家 银行 实施 了 数据 大 集中 ， 集 中 存放 和 处 理 的 数据 量 急剧 增加 ， 随 着 各 类 业 
务 的 快速 发 展 ， 银 行 每 天 都 在 产生 大 量 的 数据 ， 并 需要 对 这 些 数据 进行 分 析 挖 气 ， 系 统 
资源 开销 和 运行 效率 都 面临 着 越 来 越 大 的 压力 。 例 如 : 某 大 银行 核心 数据 已 达 300T， 
数据 仓库 存放 的 数据 已 达 400T， 全 部 数据 的 体 量 更 是 难以 估量 。 

为 控制 在 线 数据 规模 、 保 证 应 用 系统 健康 高 效 运行 ， 对 数据 从 创建 到 最 终 销毁 的 生 
命 周 期 进行 全 程 管 理 和 安全 显得 越 来 越 迫 切 。 

数据 安全 是 一 种 主动 的 防护 措施 ， 必 须 依靠 可 靠 、 完 整 的 安全 技术 体系 与 安全 管理 
体系 来 实现 。 数 据 安全 的 内 容 可 以 概括 为 下 列 的 3 个 基本 点 。 

1. 保密 性 

保密 性 又 称 机 密 性 ， 是 指 个 人 或 团体 的 信息 不 为 其 他 不 应 该 获得 者 获取 到 。 在 现 有 
的 信息 系统 中 ， 大 多 数 软 件 包 括 邮 件 软件 、 浏 览 器 等 ， 都 有 保密 性 相关 的 设 定 ， 用 来 维 
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护 信息 的 保密 性 。 在 现实 环境 中 ， 数 据 的 保密 性 面临 多 种 威胁 ， 如 间谍 软件 、 黑 客 等 ， 
都 是 保密 性 的 威胁 源 。 

2. 完整 性 

数据 完整 性 是 指 在 传输 、 存 储 信息 或 数据 的 过 程 中 ， 确 保 信息 或 数据 不 被 未 授权 的 
算 改 或 在 算 改 后 能 够 被 迅速 地 发 现 。 在 实际 的 信息 系统 中 ， 完 整 性 常常 和 保密 性 边界 混 
消 。 比 如 加 密 后 的 数据 在 传输 过 程 中 被 黑客 或 恶意 用 户 破解 ， 并 通过 一 定 的 工具 修改 了 
密 文 中 的 有 关 数 值 或 信息 ， 数 据 接收 者 如 果 无 法 校对 数据 的 完整 性 ， 会 将 错误 数据 进行 
处 理 。 为 解决 上 述 问 题 ， 通 常会 使 用 数据 签名 或 散 列 函数 对 密 文 进 行 保 护 。 

3. 可 用 性 

数据 可 用 性 是 一 种 以 使 用 者 为 中 心 的 设计 概念 ， 可 用 性 设计 的 重点 在 于 让 产品 的 设 
计 能 够 符合 使 用 者 的 习惯 与 要 求 ， 也 就 是 在 确保 数据 保密 性 和 完整 性 的 同时 ， 也 要 确保 
数据 可 以 被 使 用 者 方便 使 用 ， 而 不 能 一 味 强 调 保 密 和 完整 而 忽视 数据 存在 的 根本 意义 是 
被 使 用 和 人 处理 。 


19.2 数据 生命 周期 


数据 安全 问题 涉及 数据 整个 生命 周期 的 管理 过 程 ， 即 从 创建 到 失去 商业 价值 或 按 规 
定 要 求 被 删除 。 对 银行 而 言 ， 所 有 的 数据 在 其 生命 周期 中 都 应 当 被 有 效 地 管理 ， 通 过 必 
要 的 控制 手段 清晰 的 界定 ， 以 使 其 避免 内 部 非 授 权 的 访问 。 

数据 的 生命 周期 也 叫 信息 的 生命 周期 ， 一 般 由 创建 、 保 护 、 访 问 、 迁 移 、 归 档 、 回 
收 /销毁 等 六 阶段 组 成 ， 这 六 阶段 的 数据 活跃 度 和 相关 手段 如 图 19-1 所 示 。 

数据 的 安全 当然 需要 在 生命 周期 的 各 个 阶段 进行 保护 ， 数 据 安 全 并 不 单独 存在 ， 在 


| | RAmp 技 术 | | I 

: | | 数据 抽取 | | | 
at 
度 | 本 地 /异地 容 灾 | i | ' | 
| 1 数据 共享 和 复制 sp! ' ' 
| 人 | | 

本 数据 流转 

云 存 人 Mr | | | | 
证 和 帮 丰 | 溉 所 上 申 控 “| 
1 1 1 1 | 
多 全 作 条 统 | | 数据 备份 与 恢复 | | 
存储 虚拟 化 | | 数据 归档 | 
| | | | 1 ”资产 回收 ”| 
| ' | | 重复 数据 出 除 | 7 | 
| Sa 

| | 数据 拯救 | | 


数据 创建 阶段 ”数据 保护 阶段 ”数据 访问 阶段 ”数据 迁移 阶段 ”数据 归档 阶段 数据 回收 /销毁 阶段 


习 19-1 数据 生命 周期 
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物理 安全 、 网 络 安全 、 主 机 安全 、 应 用 安全 等 各 个 阶段 的 安全 措施 都 是 对 数据 安全 的 文 
撑 ， 在 本 音 重 点 介绍 数据 层面 的 一 些 防 护 技术 。 


19.3 数据 安全 技术 


19.3.1 数据 加 密 技 术 


加 密 是 保证 数据 安全 的 最 核心 的 手段 ， 在 18 章 已 经 详细 介绍 了 密码 技术 及 密码 技 
术 在 安全 上 起 的 作用 ， 本 节 就 不 再 展开 讨论 。 

加 密 的 基本 功能 包括 : 防止 未 授权 者 查看 机 密 的 数据 文件 ， 防 止 机 密 数 据 被 泄露 或 
算 改 ; 防止 特权 用 户 (如 系统 管理 员 ) 查看 私人 数据 文件 ; 使 人 侵 者 不 能 轻易 地 查找 
一 个 系统 的 文件 。 

此 外 ， 数 据 加 密 也 是 确保 计算 机 通信 安全 的 一 种 重要 机 制 。 数 据 加 密 可 在 网 络 OSI 
七 层 协议 的 多 层 上 实现 ， 从 加 密 技术 应 用 的 逻辑 位 置 看 ， 有 3 种 方式 : 

(1) 链 路 加 密 ”通常 把 网 络 层 以 下 的 加 密 叫 链 路 加 密 ， 主 要 用 于 保护 通信 节点 未 
传输 的 数据 ， 加 解密 由 置 于 线路 上 的 密码 设备 实现 。 

(2) 节点 加 密 是 对 链 路 加 密 的 改进 。 在 协议 传输 层 上 进行 加 密 ， 主 要 是 对 源 节 
点 和 目标 节点 之 间 传 输 数据 进行 加 密 保 护 ， 与 链 路 加 密 类 似 ， 只 是 加 密 算法 要 结合 在 依 
附 于 节点 的 加 密 模 件 中 ， 克 服 了 链 路 加 密 在 节点 处 易 遭 非法 存 取 的 缺点 。 

(3) 端 对 端 加 密 “网络 层 以 上 的 加 密 称 为 端 对 端 加 密 ， 是 面向 网 络 层 主体 。 对 应 
用 层 的 数据 信息 进行 加 密 ， 易 于 用 软件 实现 ， 且 成 本 低 ， 但 密 钥 管 理 问题 困难 ， 主 要 适 
合 大 型 网 络 系统 中 信息 在 多 个 发 方 和 收 方 之 间 传 输 的 情况 。 


19.3.2 数据 存储 安全 技术 


服务 器 中 存储 的 信息 是 越 来 越 多 ， 而 且 也 越 来 越 重要 。 为 防止 服务 器 受到 意外 攻 
击 ， 而 导致 大 量 重 要 的 生产 业务 数据 丢失 ， 服 务 融 一 般 都 会 采用 许多 重要 的 安全 保护 技 
术 来 确保 服务 器 的 安全 。 

1， 自动 全 备份 技术 

该 技术 是 在 网 络 系统 上 建立 起 的 两 套 同样 的 且 同 步 工 作 的 服务 器 ， 如 果 其 中 一 个 出 
现 故障 ， 另 一 个 将 立即 自动 投入 系统 ， 接 替 发 生 故 障 的 文件 服务 器 的 全 部 工作 。 使 用 该 
技术 ， 可 以 确保 容错 系统 的 数据 信息 由 于 系统 或 人 为 误 操 作 造 成 损坏 或 丢失 后 ， 能 及 时 
在 本 地 实现 数据 的 快速 恢复 能 力 ; 另外 ， 该 技术 还 可 以 确保 容错 系统 在 发 生 不 可 预料 或 
者 抵御 的 地 域 性 灾难 〈 地 震 、 火 灾 、 机 顺 毁 坏 等 ) 时 ， 及 时 在 本 地 或 异地 实现 数据 及 
整个 系统 的 灾难 恢复 。 
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2. 事务 跟踪 技术 

该 技术 是 针对 数据 库 和 多 用 户 软 件 的 需要 而 设计 的 ， 用 以 保证 数据 库 和 多 用 户 应 用 
软件 在 全 部 处 理工 作 还 没有 结束 时 或 工作 站 或 服务 器 发 生 突然 损坏 的 情况 下 ， 能 够 保持 
数据 的 一 致 。 其 工作 方式 是 对 指定 的 事务 (操作 ) 要 么 一 次 完成 ， 要 么 什么 操作 也 不 
进行 。 

3. 自动 检验 技术 

一 般 来 说 ， 在 对 错误 的 或 者 被 损坏 的 数据 进行 恢复 之 前 ， 该 系统 必须 要 有 能 力 来 及 
时 发 现 这 些 引 起 错误 的 原因 ， 所 以 一 个 完整 的 容错 系统 应 该 离 不 开 自动 检验 技术 的 支 
持 。 自 动 检验 技术 是 用 于 故障 快速 检测 的 一 种 有 效 手段 ， 特 别 是 具有 完全 自 校 验 性 质 的 
自 校 验 装置 ， 它 不 仅 能 及 时 检查 出 系统 模块 的 差错 ， 还 能 够 检测 出 自身 的 差错 。 在 设计 
一 个 容错 系统 时 ， 如 果 正 确 地 使 用 自动 检验 技术 ， 可 以 大 大 提高 系统 对 差错 的 反应 能 
力 ， 使 差错 的 潜伏 期 缩短 ， 能 有 效 地 放置 错误 的 进一步 葛 延 ， 从 而 有 利于 其 他 技术 及 时 
对 错误 做 出 相关 的 措施 。 


19.4 ”数据 防 泄密 技术 (DLP) 


1. DLP 解决 方案 的 类 型 与 防护 目标 

(1) DLP 解决 方案 的 类 型 数据 泄漏 防护 ( Data Leakage Prevention，DLP) 指 的 
是 用 于 监控 、 发 现 和 保护 数据 的 一 组 新 技术 。 数 据 泄漏 防护 又 称 为 数据 泄密 防护 、 数 据 
防 泄密 技术 。 目 前 各 种 DLP 解决 方案 ， 通 常 分 为 3 种 类 型 : 

1) 网 络 DLP: 通过 假设 网 络 设备 于 主要 网 络 边界 之 间 ， 最 常见 的 是 企业 网 络 和 互 
联网 之 间 ， 像 一 个 数据 网 关 。 网 络 DLP 监控 通过 网 关 的 流量 ， 检 测 敏感 数据 或 者 与 之 
相关 的 事情 ， 发 现 异常 时 ， 阻 止 数据 离开 网 络 。 

2) 存储 DLP: 通过 软件 运行 在 一 台 设 备 上 或 直接 运行 在 文件 服务 器 上 ， 执 行 类 似 
网 络 DLP 的 功能 。 存 储 DLP 扫描 存储 系统 寻找 敏感 数据 。 发 现 异常 时 ， 可 以 删除 、 隔 
离 数据 或 通知 管理 员 。 

3) 终端 DLP: 软件 运行 在 终端 系统 上 监控 操作 系统 活动 和 应 用 程序 ， 观 察 内 存 和 
网 络 流量 ， 以 检测 使 用 不 当 的 敏感 信息 。 

(2) DLP 的 防护 目标 ”网 络 DLP、 存储 DLP 和 终端 DLP 都 有 相当 的 防护 作用 ， 也 
有 各 自 的 局 限 性 ， 最 终 的 解决 方案 经 常 是 混合 使 用 ， 来 满足 以 下 部 分 或 全 部 目标 : 

1) 监控 : 被 动 监控 ,报告 网 络 流量 和 其 他 信息 通信 通道 ， 如 将 文件 复制 到 附加 的 存储 。 

2) 发 现 : 扫描 本 地 或 远程 数据 存储 ， 对 数据 存储 或 终端 上 的 信息 进行 分 类 。 

3) 捕获 : 捕获 异常 情况 ， 并 存储 ， 以 便 事 后 分 析 和 分 类 ， 或 优化 策略 。 

4) 防护 /阻塞 : 根据 监控 和 发 现 组 件 的 信息 ， 阻 止 数据 传输 ， 或 者 通过 中 断 网 络 
会 话 或 中 断 本 地 代理 与 计算 机 交互 来 阻 断 信息 流 。 
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DLP 解决 方案 需要 混合 以 上 技术 ， 还 需要 管理 配置 策略 集中 服务 器 ， 来 定义 哪些 数 
据 需 要 保护 及 如 何 保 护 。 

2. DLP 解决 方案 所 面临 的 挑战 

在 实际 业务 中 ， 如 果 DLP 解决 方案 没有 监控 到 特定 的 存储 设备 或 网 段 ， 或 者 某 种 
特定 的 文件 没有 关联 合适 的 策略 ，DLP 解决 方案 便 不 能 执行 正确 的 保护 ， 这 意味 着 DLP 
技术 的 组 件 必 须 覆 盖 每 个 网 段 文 件 服 务 器 、 每 个 内 容 管理 系统 和 每 个 备份 系统 ， 这 显然 
不 是 容易 的 事情 。 另 外 ,配置 DLP 环境 和 策略 是 项 艰巨 的 任务 ， 忽 视 任 何 一 个 方面 ， 
都 可 能 会 导致 整体 DLP 解决 方案 的 失效 。 

DLP 仅仅 做 时 间 点 的 决策 。 例 如 ， 一 开始 ，DLP 允许 用 户 发 送 机 密 数据 给 信任 的 合 
作 伙 伴 ， 但 6 个 月 以 后 ,该 组 织 觉 得 合作 伙伴 太 贵 ,， 转 而 与 其 他 更 便宜 的 合作 伙伴 签 了 
协议 。 然 后 ， 重 新 配置 DLP 策略 来 响应 业务 关系 的 变化 ， 但 是 DLP 解决 方案 没有 能 
影响 所 有 已 经 发 给 旧业 务 伙伴 的 信息 。 此 时 数据 驻 留 在 合作 伙伴 那里 ， 而 他 可 能 将 很 快 
与 你 的 竞争 对 手 签订 协议 。 

DLP 解决 方案 对 于 处 理 违 规 策略 的 方法 是 有 局 限 的 ， 但 有 时 这 种 防护 会 干扰 整个 业 
务 。 例 如 ， 当 用 户 复 制 文件 或 者 电子 邮件 时 ，DLP 解决 方案 阻止 复制 它 ， 因 为 这 是 不 合 
法 的 。 可 有 一 天 , CEO 在 做 一 个 重要 的 宣讲 ， 并 想 要 将 文件 复制 到 一 个 没有 加 密 的 USB 
设备 中 ,将 营销 报告 分 享 给 董事 会 ， 会 怎么 样 呢 ?DLP 可 能 会 阻止 他 。 如 果 想 要 通过 电 
子 邮 件 癌 自己 的 私人 邮箱 发 送 一 个 重要 文档 ， 在 周末 加 班 时 用 ， 又 会 怎么 样 呢 ? 不 行 ， 
DLP 会 阻止 它 并 通知 IT 安全 团队 ， 虽 然 DLP 中 有 很 多 优势 ， 但 如 果 不 考虑 所 有 可 能 的 
场景 ， 就 很 有 可 能 会 影响 业务 流程 和 生产 。 

DLP 也 会 生成 一 定数 量 的 误 报 (和 漏 报 ) ， 这 使 得 完全 执行 所 有 阻止 /防护 组 件 是 
一 个 危险 的 动作 。 即 使 执行 策略 的 准确 性 非常 高 ， 组 织 也 会 经 常 发 现 业 务 中 断 率 很 高 ， 
所 以 他 们 更 喜欢 只 采取 实现 监控 。 

尽管 DLP 有 一 些 不 足 , 但 DLP 在 抓获 和 监控 敏感 数据 的 移动 方面 仍然 是 一 个 非常 
好 的 工具 ， 它 能 透视 网 络 中 的 信息 流 。 这 非常 有 价值 ， 至 少 ， 可 以 突出 显示 非法 活动 发 
生 或 者 敏感 信息 存储 在 开放 共享 的 文件 中 。DLP 网 络 监控 和 发 现 组 件 的 报告 提供 了 一 个 
有 用 的 反馈 环 路 : 标识 符合 “热点 ”及 不 良 的 工作 方法 ， 上 映射 敏感 内 容 到 整个 组 织 ， 
并 使 组 织 可 以 调整 现 有 的 访问 控制 系统 。 


19.5 案例 介绍 : 数据 防 泄密 技术 在 银行 的 实践 


19.5.1 数据 安全 分 析 


1， 银行 数据 使 用 的 典型 场景 
(1) 终端 数据 的 使 用 及 存储 行内 员工 使 用 PC 终端 或 者 笔记 本 电脑 办 公 ， 人 处 理 业 
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务工 作 ， 接 收 、 发 送 企业 内 部 的 通信 信息 ， 接 收 其 他 部 门 发 送 的 内 部 资料 ， 在 使 用 或 者 
编辑 完 这 些 资料 后 ， 一 般 会 存储 在 PC 终端 、 笔 记 本 、 移 动 存储 设备 或 者 提交 到 相关 应 
用 系统 。 

员工 通过 PC 终端 或 者 笔记 本 通过 网 络 认 证 准 入 后 ， 直 接 访 问 办 公 系 统 ( OA、 
CRM 等 ) 或 者 高 敏感 的 业务 系统 ， 在 线 处 理 系统 中 的 业务 工作 流 ， 如 果 工 作 需 要 ， 还 
可 以 下 载 资 料 附件 或 者 业务 数据 (财务 数据 、 分 析 数 据 等 ) 到 终端 离线 办 公 ， 完 成 后 
再 回 传 到 业务 系统 中 (图 19-2) 。 


文件 编辑 /终端 
存储 


图 19-2 银行 数据 使 用 场景 


(2) 敏感 文件 内 部 传输 在 一 些 特定 场景 下 ， 员 工 需 要 将 一 份 含有 敏感 信息 的 文 
件 (合同 、 人 事 任 命 、 财 务 报表 等 ) 发 送 给 指定 人 员 或 者 领导 ， 由 于 文件 信息 较为 敏 
感 ， 因 此 一 般 通过 邮件 、 内 部 即时 通信 系统 或 者 使 用 普通 U 盘 找 贝 给 指定 人 员 ， 保 证 
文件 安全 传递 给 合法 的 使 用 者 。 但 是 由 于 没有 统一 的 安全 标准 ， 各 个 部 门 的 处 理 方式 干 
差 万 别 ， 并 且 在 大 部 分 时 候 没 有 采取 任何 技术 保障 措施 ， 完 全 是 由 员工 自行 保护 敏感 
文件 。 

(3) 敏感 文件 外 发 信息 交互 ”市 场 部 门 、 业 务 部 门 、 商 务 部 门 等 对 外 部 门 ， 经 常 
会 将 企业 内 部 文件 ， 如 合同 文件 、 采 购 标 准 等 企业 信息 外 发 给 合作 伙伴 或 者 上 级 单位 ， 
双方 频繁 的 文件 交互 缺乏 技术 手段 保护 外 发 文件 ， 文 件 接收 方 可 以 随意 处 理 这 些 信 息 打 
印 、 外 发 甚至 是 发 送 到 互联 网 论坛 。 

(4) 企业 信息 发 布 资源 分 享 ”在 实际 工作 当中 ,， 各 个 部 门 〈 如 人事 部 门 、 市 场 部 
门 、 财 务 等 ) 或 者 集团 总 部 经 常会 给 本 部 门 或 者 分 公司 群发 通知 性 邮件 ， 除 了 邮件 正 
文 还 包括 附件 信息 ， 有 时 由 于 邮件 系统 群发 邮件 发 送 量 过 大 ， 尤 其 是 群发 包含 大 附件 的 
文件 的 时 候 ， 接 收 缓慢 ， 占 用 带宽 ， 甚 至 影响 到 了 员工 的 工作 效率 。 

(5) 终端 访问 互联 网 行内 员工 在 日 常 的 办 公 过 程 中 ， 需 要 访问 到 互联 网 进行 一 
些 资料 的 查阅 和 各 种 互联 网 业务 的 办 理 。 同 时 ， 该 终端 也 会 具备 权限 访问 内 部 的 一 些 办 
公 系 统 其 至 敏感 的 数据 。 访 问 互联 网 的 终端 也 存在 内 部 的 敏感 数据 ， 终 端 任何 数据 都 可 
通过 互联 网 进行 传输 。 
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(6) 终端 访问 敏感 应 用 系统 ”行内 员工 、 三 方 运 维 人 员 、 出 差 人 员 需 要 访问 内 部 
应 用 系统 ， 当 终端 允许 网 络 准 入 或 通过 VPN 接 人 到 内 网 应 用 后 ， 用 户 可 以 在 线 编辑 、 
处 理 业 务 系统 数据 ， 文 件 在 线 查 看 ， 甚 至 下 载 敏 感 文件 、 系 统 日 志文 件 到 终端 ， 离 线 办 
公 ， 访 问 敏感 资源 (应 用 系统 ) 的 时 候 未 对 终端 进行 检测 并 且 控 制 终端 状态 ， 下 载 的 
敏感 数据 与 个 人 数据 混合 存储 在 终端 。 

2. 面临 的 数据 安全 风险 

根据 行内 信息 化 现状 , 已 经 采取 的 安全 措施 ， 针 对 数据 安全 现状 风险 ， 从 以 下 几 个 
方面 进行 阐述 。 

(1) 数据 存储 风险 

1) 终端 设备 丢失 造成 泄密 。 由 于 员工 在 实际 工作 当中 ,会 接触 到 很 多 的 敏感 办 
公文 件 ， 包 括 员工 自己 产生 的 文档 ,或 者 从 各 种 应 用 系统 中 下 载 的 办 公文 件 ， 由 于 
文件 中 包含 敏感 信息 ， 需 要 加 强 保护 。 而 在 实际 使 用 过 程 中 ,没有 采取 任何 的 安全 
措施 或 者 保护 手段 ,分 散 存储 在 各 个 办 公 终 端 中 ， 如 U 盘 、 移 动 硬盘 、 笔 记 本 等 。 
例如 ， 出 差 的 时 候 会 在 笔记 本 中 存储 很 多 的 敏感 文件 ， 如 果 笔 记 本 丢失 或 者 被 盗 ， 
由 于 笔记 本 除了 系统 登录 密码 外 ， 没 有 任何 的 保护 手段 ， 极 易 造 成 数据 泄密 ， 甚 至 
造成 不 良 的 社会 影响 。 

2) 终端 分 散 存储 造成 风险 。 终 端 上 分 散 存储 着 大 量 文档 ， 如 果 终 端 系统 骨 溃 或 
应 用 办 公文 件 故 障 导 致 文件 损坏 ， 由 于 没有 采取 任何 备份 措施 ， 必 然 影响 到 日 常 办 
公 ， 分 散 存 储 不 仅 给 个 人 文档 管理 带 来 风险 ， 同 时 也 给 内 部 的 知识 传递 和 分 享 造成 
瓶颈 。 

3) 终端 联网 数据 被 动 泄密 风险 。 由 于 互联 网 是 一 个 开放 的 网 络 ， 存 在 众多 的 不 确 
定性 安全 风险 。 特 别 是 当 终 端 连接 互联 网 的 时 候 ， 互 联网 的 威胁 可 能 引入 到 终端 上。 而 
终端 本 身 的 数据 存在 被 动 或 者 主动 传输 到 互联 网 上 的 风险 ， 从 而 造成 终端 数据 泄露 的 安 
全 隐患 。 

(2) 内 部 使 用 风险 ”业务 数据 和 客户 数据 是 行内 的 核心 资产 ， 直 接 关 系 着 企业 的 
核心 竞争 力 ， 由 于 内 部 之 间 都 是 采用 明文 的 方式 进行 传输 ， 随 着 文档 在 内 部 扩散 ， 在 内 
部 不 仅 存在 一 般 性 质 的 文件 传递 及 资料 分 享 ， 有 的 还 包括 较为 敏感 的 文件 如 商务 合同 、 
财务 报表 、 蒋 酬 文 件 等 ， 这 类 文件 需要 严格 控制 阅读 人 员 及 阅读 范围 的 资料 ， 而 现 阶 段 
只 是 做 了 安全 规章 制度 的 要 求 ， 如 果 文件 接收 者 有 意外 发 文件 或 者 打印 敏感 文件 ， 必 然 
造成 文档 在 内 部 使 用 风险 。 

(3) 文件 管理 风险 ”信息 安全 建设 过 程 中 ， 对 内 部 的 信息 安全 已 起 到 了 一 定 的 安 
全 保障 ， 但 是 对 内 部 的 信息 流转 、 文 档 分 布依 然 缺乏 有 效 的 管理 ， 缺 乏 对 内 部 文档 的 统 
一 管理 ， 包 括 文档 操作 记录 、 文 档 分 布 状 态 、 违 规 使 用 记录 等 ， 各 信息 安全 管理 系统 之 
间 缺 少 信息 的 联动 ， 使 得 内 部 对 文档 的 管理 存在 风险 。 

(4) 外 部 使 用 风险 ”由 于 业务 需要 ， 经常 需要 将 内 部 的 文件 外 发 给 第 三 方 合作 伙 
伴 或 客户 ， 但 是 部 分 外 发 信息 较为 敏感 ， 如 果 这 些 文件 在 外 部 网 络 被 截取 ， 或 者 接收 者 
保管 不 善 ， 造 成 文件 内 容 泄密 ， 将 影响 到 行内 的 业务 甚至 是 企业 形象 ， 甚 至 影响 业务 的 
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顺利 进行 。 

(5) 内 部 流转 风险 ”文档 在 内 部 流转 过 程 中 ， 可 能 存在 越权 查看 或 恶意 传播 的 风 
险 ， 如 某 些 敏感 文件 只 能 限定 在 某 些 范 围 内 查看 的 文件 ， 但 是 在 实际 工作 中 ， 可 能 存在 
越权 查看 、 非 法 传播 ， 其 至 还 存在 恶意 传播 的 风险 。 

(6) 占用 带宽 造成 网 络 拥 塔 ”内 部 数据 传输 的 时 候 ， 通常 使 用 共享 、 邮 件 等 用 于 
内 部 信息 分 享 和 传递 ， 如 果 是 文字 性 的 内 容 ， 内 部 通信 既 可 靠 又 保证 通信 顺畅 ， 但 是 在 
实际 使 用 的 时 候 ， 员 工会 将 文件 或 者 较 大 的 文件 以 附件 的 形式 分 发 出 去 ， 直 接 发 送 的 邮 
件 服务 器 ， 这 个 时 候 接收 者 会 收 到 邮件 信息 ， 手 动 或 者 自动 同时 下 载 文件 ， 从 而 造成 网 
络 拥堵 ， 占 用 大 量 带宽 ， 影 响 到 其 他 应 用 系统 的 网 络 通信 ， 甚 至 是 影响 企业 运行 效率 ， 


造成 经 济 损失 。 


19. 5.2 ”安全 桌面 功能 框架 


安全 桌面 的 主要 功能 包括 安全 桌面 终端 防护 、 透 明 接 和 人、 本 地 数据 加 密 、 安 全 桌面 
时 间 计 划 、 防 粘贴 拷贝 、 防 泄密 水 印 、 插 件 / 证 书 白 名 单 、 防 二 次 跳 转 、 安 全 桌面 离线 
使 用 、 访 问 策略 控制 、 认 证 授权 、 传 输 安 全 、 安 全 桌面 多 实例 和 个 性 化 、 应 用 和 白 名 单 、 
软件 兼容 性 、 安 全 桌面 与 真实 桌面 之 间 数 据 安全 交换 、 上 网 桌面 和 办 公 桌 面 同时 使 用 、 
操作 系统 兼容 、 日 志 审计 的 功能 ( 表 19-1)。 
表 19-1 具体 功能 列表 


功能 类 型 功能 需求 说 明 


1. 在 网 关 配 置 屏蔽 沙 盒 内 的 任务 管理 器 .关机 注销、 控制 面板 .注册 表 运行 菜单 

2. 终端 健康 性 检查 ,包括 操作 系统 版 本 号 .补丁 (只 检查 SP1/SP2 等 大 版 本 ) \ 检 查 防 病 
毒 软件 是 否 安装 /病毒 库 是 否 过 期 .检查 防火 墙 是 否 安装 等 

3. 对 外 设 进行 管控 ,管控 打印 机 、COM 口 .USB 口 的 使 用 ,尤其 对 USB 介质 在 禁止 USB 
存储 设备 的 同时 ,可 以 允许 网 银 USB Key 及 USB 鼠标 .键盘 使 用 

4. 安全 桌面 支持 防 截屏 /录像 能 力 


安全 桌面 终端 防护 


不 改变 用 户 物理 人 P 地 址 ,不 需 安装 虚拟 网 卡 ,对 用 户 透明 方式 来 建立 安全 隧道 ,并 接 入 
安全 桌面 网 关 , 进 而 访问 网 络 ; 不 影响 原 有 的 上 网 审计 ( 仍 可 基于 IP 进行 管控 ) 


透明 接 入 


安全 桌面 对 本 地 数据 进行 加 密 存储 ,不 同 策略 安全 桌面 文件 加 密 采用 独立 密 钥 。 同 一 计 
本 地 数据 加 密 算 机 的 不 同 用 户 的 不 同 策略 安全 桌面 数据 不 能 相互 读 取 ; 同 一 计算 机 的 同 户 的 不 同 策 
略 安全 桌面 数据 (敏感 互联网) 不 能 相互 读 取 


支持 用 户 使 用 安全 桌面 时 间 控制 管理 ,能 够 对 不 同 用 户 或 角色 分 配 不 同 的 时 间 计划 , 确 
安全 桌面 时 间 计 划 | 保 用 户 对 互联 网 和 敏感 资源 的 合理 使 用 。 为 不 改变 现 有 用 户 使 用 模式 ,时 间 计划 控制 由 分 
行 根据 实际 情况 选择 是 否 开启 


使 用 对 系统 粘贴 板 拷贝 的 方法 ,也 可 能 导致 关键 信息 的 泄漏 , 在 安全 桌面 内 通过 屏蔽 安 
全 桌面 粘贴 板 等 措施 ,防止 机 密 数 据 泄露 。 该 功能 在 网 关 配 置 中 开启 


防 粘贴 板 拷贝 


安全 桌面 具有 水 印 配置 功能 。 安 全 桌面 显示 水 印 , 水 印 内 容 包 括 用 户 名 、 登 录 网 关 等 , 防 
范 通 过 截图 .拍照 等 操作 造成 信息 泄露 


防 泄密 水 印 
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( 续 ) 


这 
几 


功 全 功能 需求 说 明 


昌 于 沙 盒 原 理 实现 上 ,在 启用 退出 清空 策略 后 不 保存 沙 盒 内 的 任何 操作 ,包括 沙 盒 内 安 
插件 /证 书 白 名 音 装 的 正 插件 ` 证 书 ;安全 桌面 内 制订 白 名 单 多 许 沙 盒 内 匹配 白 名 单 的 插件 证 书 安装 并 保 

留 ,以 避免 每 次 需要 重新 安装 插件 。 白 名 单 默 认 包含 主流 下 插件 及 网 银 证 书 ,并 根据 需要 
在 网 关 侧 手动 维护 列表 


防 二 次 跳 转 安全 桌面 具备 防 二 次 跳 转 能 力 , 防 止 其 他 非 授 权 终 端 通过 远程 桌面 功能 跳 转 到 启动 安全 
i 桌面 的 终端 上 ,从 而 达到 非法 上 网 的 目的 。 该 功能 在 网 关 配 置 中 开局 


A 在 安全 桌面 离线 时 ,不 能 访问 任何 敏感 信息 资源 ,可 以 访问 安全 桌面 本 地 资源 。 互 联网 
安全 桌面 离线 使 用 | ,.. ee te 
安全 桌面 不 允许 离线 运行 ,防止 在 非 受 控 情况 下 访问 互联 网 


安全 网 关 部 署 完 成 后 ,不 启动 安全 桌面 客户 端的 电脑 无 法 直接 访问 互联 网 和 敏感 资源 服 
访问 策略 控制 务 器 。 启 动 安 全 桌面 客户 端 后 ,对 真实 桌面 及 安全 桌面 分 别 下 发 网 络 访问 控制 策略 ,限制 
真实 桌面 及 安全 桌面 的 访问 网 段 ,确保 用 户 只 能 访问 授权 的 网 络 资源 


支持 AD 域 .Radius 认证 .证书 认证 ,能 控制 用 户 访问 的 网 络 系统 权限 ,实现 针对 不 同 用 


户 .用户 组 进行 访问 权限 的 管理 
传输 安全 安全 桌面 与 网 络 资源 的 通讯 应 采用 加 密 传输 方式 ,并 支持 中 国 商 密 算法 SMI 等 
安全 桌面 多 实例 “| ”支持 多 个 安全 桌面 同时 运行 ,支持 悬浮 提示 条 可 以 在 安全 桌面 与 本 地 桌面 之 间 快 速 切 
和 个 性 化 换 ;能 自 定义 和 统一 定义 桌面 壁纸 ,避免 多 个 桌面 同时 启用 时 使 用 混淆 
应 用 白 名 音 可 对 安全 桌面 内 运行 的 程序 进行 管理 , 仅 允 许 白 名 单 内 的 应 用 运行 


支持 的 应 用 包括 但 不 限于 以 下 内 容 ( 后续 会 增加 新 应 用 ) : 
iNode 和 时 代 亿 信 文 档 加 密 软件 

办 公 软 件 :Office 

阅读 软件 :Adobe Reader 

输入 法 :搜狗 拼音 输入 法 .搜狗 五 笔 输入 法 
视频 软件 :暴风 影音 、Adobe Flash Player 

压缩 软件 :WinRAR 

安全 软件 ;杀毒 软件 .防火墙 

浏览 器 . 正 6 以 上 全 部 版 本 ,Chrome .Firefox 指定 版 本 
翻译 软件 :金山 词霸 

聊天 软件 :QQ 、 飞 信 、Skype 

行内 软件 和 网 银 控件 


软件 兼容 性 


安全 桌面 与 真实 桌面 之 间 进 行文 件 导 人 、 导 出 时 可 对 文件 内 容 进行 指纹 级 审计 ,基于 
安全 桌面 与 真实 桌面 | 敏感 关键 字 阻 断 或 进行 审计 ,记录 传输 文件 名 用户 和 名 来源 卫 .MD5 及 文件 指纹 片段 ; 文 
> 间 数 据 安全 交换 | 件 导 出 /导入 失败 时 ,提示 用 户 失败 及 原因 ,并 记录 违规 日 志 ;对 导出 / 导 人 文件 能 自动 保 
存 审计 


说 


上 网 桌面 和 办 公 
桌面 同时 使 用 


一 个 安全 桌面 网 关 可 以 同时 支持 上 网 桌面 和 办 公 桌 面 使 用 


操作 系统 兼容 性 支持 Windows XP、Win7AWin8/ Win2008(32 位 和 64 位 ) 


支持 对 安全 桌面 内 网 络 资源 访问 进行 细 粒 度 审计 和 日 志 记录 ,日 志 包 括 登 录用 户 .访问 
时 间 ` 源 地 址 .目的 地 址 等 ,并 支持 外 部 标准 SYSLOG 服务 器 日 志 输 出 


日 志 审 计 
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19. 5.3 安全 桌面 技术 说 明 


在 政府 、 金 融 等 单位 中 ,用户 在 工作 时 既 需 要 访问 互联 网 ， 又 需要 访问 内 部 的 专 
网 。 由 于 内 部 业务 系统 中 传输 的 都 是 内 部 机 密 的 信息 ， 用 户 在 上 网 过 程 中 有 意 或 者 无 意 
的 把 内 部 的 文件 发 送 到 互联 网 上 ， 这 种 行为 就 是 网 络 泄密 。 从 有 意 和 无 意 两 个 角度 来 
分 ， 网 络 泄密 可 以 分 为 主动 泄密 和 被 动 泄密 。 主 动 泄密 的 方式 主要 包含 通过 发 帖 、 外 发 
邮件 、QQ 聊天 、USB 找 贝 把 单位 的 机 密 文件 发 送出 去 ; 被 动 泄密 主要 是 用 户 在 中 了 病 
毒 或 木马 后 ， 病 毒 程序 通过 扫描 用 户 电脑 ， 把 有 用 的 资料 偷 发 出 去 ， 或 者 利用 被 中 毒 的 
PC 作为 跳板 ,访问 内 部 的 服务 器 ， 从 服务 器 上 获取 资料 再 发 送出 去 。 无 论 是 哪 种 泄密 
方式 ， 给 单位 和 企业 都 会 带 来 巨大 的 经 济 损失 。 所 以 在 政府 、 金 融 等 单位 ， 需 要 通过 技 
术 手 段 来 实现 互联 网 和 内 网 隔离 ， 防 范 信息 泄密 风险 。 

当前 有 两 种 主流 的 技术 方案 ， 一 种 为 物理 隔离 ， 即 每 个 用 户 使 用 两 台 PC， 一 台 上 
网 ， 一 台 办 公 ; 另 一 种 为 逻辑 隔离 ， 即 安全 桌面 技术 ， 通 过 在 PC 上 虚拟 一 个 安全 的 桌 
面 环境 ， 实 现 互联 网 和 办 公 的 逻辑 隔离 。 物 理 隔 离 投资 大 ， 易 用 性 差 ， 正 在 逐渐 被 蔡 
代 。 当 前 安全 桌面 技术 已 经 被 一 些 银 行 大 规模 采用 ,方案 成 熟 可 靠 。 

针对 物理 隔离 和 安全 桌面 (逻辑 隔离 ) 的 详细 对 比 ， 见 表 19-2。 

表 19-2 物理 隔离 与 安全 桌面 对 比 


项 目 物理 隔离 安全 课 而 (逻辑 隔离 
天 物 己 名 布线 
建设 投资 两 套 物 理 网 络 、 两 套 布线 .两 | 在 物理 设备 一 套 虚拟 系统 组 成 
套 终端 设备 


建设 投资 


短 ; 确 定 方案 ,1 个 月 以 内 就 能 完成 实施 


建设 周二 2 
人 全 和 调试 


互 


无 法 兼顾 业务 的 使 用 性 ,无 法 基 顾 业务 的 实际 操作 系统 ,隔离 效果 可 
真正 实现 完全 隔离 控制 .可 调节 


业务 可 行 性 实际 隔离 实现 


易 管理 , 仅 需 通过 安全 桌面 网 关 设备 进 
网 络 管理 性 两 倍 管理 成 本 a 过 安 网 关 设备 ; 
维护 和 管理 统一 管 
0 高 低 ;只 需要 维护 安全 桌面 网 关 即 可 
i 必须 Wh 行 操 , 影 ,进行 安 上 归 操 有 ， < 影 
易 用 性 用 户 操作 性 差 ,必须 换 设 备 进行 操作 , 景 好 ,进行 安全 桌面 切换 操作 即 可 ; 不 时 


响 工 作 效 率 响 操作 习惯 


较 差 ; 扩 展 新 增设 备 必须 同时 | “利用 安全 桌面 网 关 的 集群 功能 ,可 以 达 
增加 两 套 到 极 佳 的 扩展 性 


方案 扩展 性 性 能 扩展 性 


安全 桌面 产品 采用 了 沙 盒 技术 和 安全 桌面 技术 ， 有 具体 内 容 如 下 。 
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1. 沙 盒 技术 

Sandbox 技术 ， 中 文 名 叫 沙 盒 ， 也 叫 沙 箱 、 沙 盘 。 在 计算 机 领域 指 一 种 虚拟 技术 ， 
且 多 用 于 计算 机 安全 技术 。 其 原理 是 提供 一 个 虚拟 的 环境 给 程序 运行 ， 当 发 现 程序 
有 破坏 行为 的 时 候 ， 终 止 该 进程 。 由 于 程序 是 在 虚拟 的 环境 中 执行 的 ， 所 造成 的 破 
坏 也 不 会 影响 到 真实 环境 中 。 想 象 一 下 ， 在 一 个 装 满 了 平整 细 沙 的 盒子 里 ， 我 们 可 
以 尽情 随意 地 在 上 面 作 画 、 涂 写 ， 无 论 画 得 好 坏 ， 最 后 轻 轻 一 抹 ， 沙 盒 又 回 到 了 原 
来 的 平整 状态 。 

目前 ， 沙 盒 技术 已 经 成 为 安全 界 一 种 流行 的 技术 来 解决 终端 安全 问题 。 众 多 知名 厂 
商都 在 各 自 的 产品 、 不 同 领域 使 用 沙 盒 技术 来 提升 产品 的 安全 性 。 比 如 苹果 的 i0S 系 
统 ， 采 用 沙 盒 技术 后 ，iPhone 、iPad 的 安全 性 得 到 很 大 提升 ， 恶意 代码 远 低 于 安 卓 系 
统 ; 谷歌 的 Chrome 浏览 器 ， 采 用 沙 盒 技术 后 ，Chrome 对 恶意 代码 的 防护 效果 得 到 极 大 
提升 ， 被 评 为 安全 浏览 器 。 

2. 安全 桌面 技术 

安全 桌面 是 使 用 了 SandBox 技术 的 一 种 安全 逻辑 隔离 产品 ， 也 是 虚拟 化 技术 的 一 种 
应 用 。 互 联网 场景 下 使 用 安全 桌面 既 可 用 于 病毒 防护 ， 也 可 以 用 于 数据 防 泄漏 。 安 全 桌 
面 使 用 的 关键 技术 有 以 下 几 种 。 

(1) 调用 拦截 通过 windows 的 图 形 化 进程 管理 需 explorer. exe, 安全 桌面 下 发 控件 
后 ， 在 终端 生成 一 个 新 系统 进程 管理 器 ， 在 新 系统 进程 管理 器 下 面 再 次 调用 其 他 的 程序 
和 使 用 的 文件 ， 并 对 数据 传输 、1/O 系统 、DLL 代码 数据 库 、 进 程 间 通信 接口 API 等 进 
行 数据 调用 拦截 。 

(2) 重 定向 通过 HOOK 技术 ， 对 安全 桌面 下 的 所 有 运行 的 程序 ， 都 将 受到 沙 盒 
相关 进程 的 改写 ， 实 现 与 原 有 环境 的 隔离 。 

(3) 透明 访问 ”采用 系统 级 网 络 拦截 技术 ， 将 用 户 的 IP 数据 包 自动 增加 标记 ， 发 
送 到 安全 桌面 网 关 ， 网 关 解 开 后 仍然 可 以 使 用 用 户 的 物理 IP 将 访问 请 求 发 出 ， 不 影响 
记录 日 志和 基于 源 IP 的 审计 追溯 。 

(4) 透明 加 密 技术 用户 在 安全 桌面 中 进行 网 络 访问 、 本 地 文件 访问 等 操作 时 ， 
可 自动 将 保存 在 安全 桌面 中 的 数据 加 密 ， 用 户 无 感知 。 

(5) 注册 表 保 护 ” 安 全 桌面 内 被 修改 过 的 注册 表单 被 重新 定向 到 加 密 注 册 表 中 ， 
安全 桌面 无 法 看 到 ， 关 闭 安全 桌面 后 ， 该 注册 表单 被 恢复 或 删除 。 通 过 注册 表 保 护 ， 可 
以 避免 病毒 感染 、 修 改 注册 表 键 值 。 

(6) 进程 保护 ”通过 进程 访问 控制 ， 防 止 病毒 感染 虚拟 环境 以 外 的 进程 ， 当 用 户 
退出 安全 桌面 后 ， 所 有 的 病毒 数据 文件 都 将 被 清除 ， 以 保护 系统 进程 安全 ， 避 人 免 被 病毒 
感染 。 

(7) 网 络 访问 控制 ”安全 桌面 中 可 根据 设置 的 网 络 访问 规则 ， 分 别 对 真实 桌面 和 
安全 桌面 内 的 网 络 访问 进行 控制 。 
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19.5.4 防 数据 泄漏 平台 介绍 


| 
S/ DVD ”1! 位 存储 器 
S CD-ROM 1 磁盘 阵列 RAID 

人 磁带 1! 光 帮 、 


呈现 


服务 程序 库 | 本 | 时 
版 面 陈列 ! 发 布 出 版 


对 


纸 本 文件 


入 
OCRVICR 识别 . 多 
Doorment ineging 条 
表单 处 理 a 居 
联合 工作 流 /BPM 名 
J 
人 SS E 互联 网 
和 区 外 联网 


穴 内 联网 
地 门户 
E-Mail 
Fax 
手机 设备 。 mm 
电子 报表 。 w=> 


保护 


图 19-3 平台 示意 图 


(1) 获取 ”提供 多 种 方式 将 文件 获取 至 系统 ， 如 单 /多 个 文件 ( 夹 )、 第 三 方 集成 、 
扫描 件 、 移 动 终端 采集 、 同 步 、Office 组 件 集成 等 。 

(2) 存储 ”提供 高 效 、 安 全 、 可 扩展 的 存储 方式 ， 分 区 域 存储 加 速 文件 访问 速度 。 

(3) 管理 ”对 文件 提供 一 系列 的 管理 方式 ， 分别 为 文档 管理 、 网 站 管理 、 记 录 管 
理 、 数 字 资 产 管理 。 

(4) 保护 ”对 文件 提供 全 方位 的 权限 保护 机 制 。 

(5) 呈现 以 门户 、 预 览 、 知 识 地 图 等 方式 将 信息 展示 给 用 户 。 

2. 功能 架构 (图 19-4) 

(1) 用 户 层 ”提供 多 种 访问 方式 ， 如 利用 网 页 、 客 户 端 、 一 体 机 等 方式 访问 系统 。 

(2) 内 容 应 用 层 ”在 文件 采集 、 存 储 、 内 容 组 织 、 内 容 发 现 、 共 享 协作 、 内 容 业 
务 等 方面 进行 应 用 。 
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记录 权限 丙 容 呈现 两 容 归 档 
权限 计算 优先 级 [档案 管理 ) 
中 [邮件 胃 档 _]) 
权限 成 员 类 别 
权限 继承 和 重 载 2 哲 仪 获取 文人 一 下 
权限 动态 显示 


事件 机 制 权限 策 咯 (Watch Fax_) 本 证 定语 庙 罗 | (( 有 全 新 语法 吝 
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图 19-4 功能 构架 图 

(3) 内 容 安全 层 ”提供 在 线 权限 分 配 体系 ， 使 权限 颗粒 化 ， 保 证 文件 的 在 线 安 全 ， 
并 提供 离线 权限 ， 以 保证 文件 外 发 后 的 安全 性 。 
(4) 内 容 服 务 层 ”系统 提供 多 种 服务 ， 如 搜索 服务 、 转 档 服 务 器 、 内 容 分 析 服 务 ， 
并 提供 多 种 报表 监控 系统 运行 情况 。 

(5) 架构 层 系统 采用 SOA 架构 ， 具 备 较 强 的 扩展 性 、 高 负载 能 力 、 较 强 的 整合 
能 力 ， 并 且 易 于 拆 分 ， 方 便 快 速 整合 。 

(6) 第 三 方 集成 ”提供 标准 Web Service， 方便 与 第 三 方 系统 快速 整合 ， 包 括 数据 
集成 、 业 务 组 件 集 成 、 组 织 集成 等 。 
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第 20 草 
安全 检测 与 渗透 测试 技术 


20.1 系统 安全 检测 及 渗透 技术 


20.1.1 系统 安全 检测 方法 概述 


近年 来 ， 随 着 网 络 攻击 技术 的 泛滥 ， 不 少 企 业 的 信息 系统 会 经 常 遭 到 黑客 的 攻击 和 
言 息 的 算 改 ， 针 对 网 络 信息 系统 攻击 的 各 种 犯罪 活动 已 经 严重 危害 着 社会 的 发 展 和 企业 
的 安全 ， 给 全 球 带 来 了 巨大 的 经 济 损失 。 总 之 ， 当 前 信息 系统 所 面临 的 各 种 各 样 的 威胁 
问题 ， 已 经 成 为 普遍 的 国际 性 问题 。 

言 息 革命 在 改变 人 类 传统 的 生产 、 生 活 方式 并 极 大 地 促进 生产 力 发 展 的 同时 ， 也 带 
来 了 不 容 忽视 的 负面 影响 。 信 息 系统 的 安全 正成 为 每 一 个 计算 机 用 户 都 面临 的 紧迫 问 
题 。 为 了 解决 这 些 问题 ， 一 系列 的 网 络 安全 技术 应 运 而 生 。 

1. 漏洞 扫描 

漏洞 是 指 一 个 系统 存在 的 弱点 或 缺陷 ， 即 系统 对 特定 威胁 攻击 或 危险 事件 的 敏感 
性 ， 或 进行 攻击 的 威胁 作用 的 可 能 性 。 漏 洞 可 能 来 自 应 用 软件 或 操作 系统 设计 时 的 缺陷 
或 编码 时 产生 的 错误 ， 也 可 能 来 自 业 务 交 互 处 理 过 程 中 的 设计 缺陷 或 逻辑 流程 上 的 不 合 
理 之 处 。 这 些 缺 陷 、 错 误 或 不 合理 之 处 可 能 被 有 意 或 无 意 地 利用 ， 从 而 对 一 个 组 织 的 资 
产 或 运行 造成 不 利 影响 ， 如 信息 系统 被 攻击 或 控制 ， 重 要 资料 被 禄 了 到， 用 户 数据 被 自 
改 ， 系 统 被 作为 入 侵 其 他 主机 系统 的 跳板 。 从 目前 发 现 的 漏洞 来 看 ， 应 用 软件 中 的 漏洞 
远 远 多 于 操作 系统 中 的 漏洞 ， 特 别 是 WEB 应 用 系统 中 的 漏洞 更 是 占 信息 系统 漏洞 中 的 
绝 大 多 数 。 

漏洞 会 影响 到 很 大 范围 的 软 硬 件 设备 ， 包 括 系统 本 身 及 其 支撑 软件 、 网 络 客户 和 服 
务 央 软件、 网 络 路 由 顺和 安全 防火 墙 等 。 换 而 言 之 ， 在 这 些 不 同 的 软 硬 件 设备 中 都 可 能 
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存在 不 同 的 安全 漏洞 问题 。 在 不 同 种 类 的 软 、 硬 件 设备 ， 同 种 设备 的 不 同 版 本 之 间 ， 由 
不 同 设备 构成 的 不 同系 统 之 间 ， 以 及 同 种 系统 在 不 同 的 设置 条 件 下 ， 都 会 存在 各 自 不 同 
的 安全 漏洞 问题 。 

每 个 系统 都 有 漏洞 ， 不 论 你 在 系统 安全 性 上 投入 多 少 财力 ， 攻 击 者 仍然 可 以 发 现 一 
些 可 利用 的 特征 和 配置 缺陷 。 这 对 于 安全 管理 员 来 说 ， 实 在 是 个 不 利 的 消息 。 但 是 ， 多 
数 的 攻击 者 ， 通 常 做 的 是 简单 的 事情 。 发 现 一 个 已 知 的 漏洞 ， 远 比 发 现 一 个 未 知 漏洞 要 
容易 得 多 ， 这 就 意味 着 多 数 攻击 者 所 利用 的 都 是 常见 的 漏洞 ， 这 些 漏 洞 ， 均 有 书面 资料 
记载 。 这 样 的 话 ， 采 用 适当 的 工具 ， 就 能 在 黑客 利用 这 些 常见 漏洞 之 前 ， 查 出 网 络 的 薄 
弱 之 处 。 如 何 快速 简便 地 发 现 这 些 漏洞 ， 这 个 非常 重要 。 漏洞 ， 大 体 上 分 为 两 大 类 : 

1) 软件 编写 错误 造成 的 漏洞 。 

2) 软件 配置 不 当 造 成 的 漏洞 。 

漏洞 扫描 就 是 对 重要 计算 机 信息 系统 进行 检查 ， 发 现 其 中 可 被 黑客 利用 的 漏洞 。 漏 
洞 扫描 的 结果 实际 上 就 是 系统 安全 性 能 的 一 个 评估 ， 它 指出 了 哪些 攻击 是 可 能 的 ， 因 此 
成 为 安全 方案 的 一 个 重要 组 成 部 分 。 

目前 ， 漏 洞 扫 描 ， 从 底层 技术 方面 来 划分 ， 可 以 分 为 基于 网 络 的 扫描 和 基于 主机 的 
扫描 这 两 种 类 型 。 

后 面 会 分 别 介绍 并 分 析 基 于 网 络 的 漏洞 扫描 工具 和 基于 主机 的 漏洞 扫描 工具 的 工作 
原理 。 这 两 种 工具 扫描 目标 系统 漏洞 的 原理 类 似 ， 但 体系 结构 是 不 一 样 的 ， 具 有 各 自 的 
特点 和 不 足 之 处 。 

2. 源 代 码 扫描 

言 息 安全 是 一 个 随时 都 在 发 展 和 变化 的 动态 事物 ， 攻 击 的 领域 已 经 由 传统 的 网 络 和 
系统 层面 上 升 到 了 应 用 层面 。 近 期 ， 越 来 越 多 的 应 用 系统 面临 着 攻击 威胁 。 应 用 系统 的 
安全 性 能 ,一 方面 立足 于 系统 安全 方案 的 分 析 与 设计 ， 男 一 方面 也 取决 于 系统 实现 过 程 
中 是 否 存在 安全 性 缺陷 。 为 降低 应 用 系统 的 安全 风险 ,减少 软件 代码 编写 中 可 能 出 现 的 
安全 漏洞 ， 提 高 应 用 系统 自身 安全 防护 能 力 ， 软 件 的 应 用 方 越 来 越 依赖 于 采用 源 代码 安 
全 扫描 工具 在 软件 开发 过 程 中 帮助 软件 开发 团队 快速 查找 、 定 位 、 修 复 和 管理 软件 代码 
安全 问题 ， 应 用 静态 源 代码 安全 扫描 的 主要 价值 在 于 能 够 快速 准确 地 查找 、 定 位 和 修复 
软 代 码 中 存在 的 安全 风险 ， 增 加 工具 投资 所 带 来 的 最 大 效益 ， 节 约 代码 安全 分 析 的 成 
本 ， 最 终 开发 安全 的 、 可 靠 的 软件 。 

静态 源 代码 扫描 的 优点 在 于 ， 无 须 进 行 编译 ， 也 无 须 去 搭建 运行 环境 ， 就 可 以 对 程 
序 员 所 写 的 源 代码 进行 扫描 。 这 样 可 以 节省 大 量 的 人 力 和 时 间 成 本 ， 提 高 开发 效率 ， 并 
且 能 够 发 现 很 多 靠 人 力 无 法 发 现 的 安全 漏洞 ， 站 在 黑客 的 角度 上 去 审查 程序 员 的 代码 ， 
大 大 降低 项 目 中 的 安全 风险 ， 提 高 软件 质量 。 

在 静态 源 代码 扫描 技术 上 ， 现 在 被 普遍 应 用 的 是 第 一 代 和 第 二 代 技 术 。 

第 一 代 技 术 是 指 传统 的 静态 分 析 ， 都 是 基于 语法 解析 或 者 编译 器 ， 这 些 方式 分 析 代 
码 的 缺陷 是 以 代码 所 匹配 的 规则 模式 (patterns) 去 评估 代码 ， 只 要 模式 匹配 或 者 相似 
就 报 出 来 。 需 要 人 工 去 分 辨 出 其 中 的 真 假 ， 主 要 存在 的 问题 是 误 报 (False Positive) 和 
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漏 报 (False Negative) 。 

出 现 这 两 个 问题 的 原因 是 : 在 做 静态 分 析 时 ， 要 先 描绘 出 代码 所 有 的 路 径 ， 然 后 对 
每 种 路 径 上 的 变量 进行 计算 ， 并 比较 。 基 于 语法 的 解析 路 径 是 可 以 描绘 出 来 的 ， 但 要 计 
算 每 个 路 径 上 的 变量 在 使 用 前 后 的 值 ， 并 跟踪 它们 ， 目 前 采用 的 算法 几乎 不 可 能 ， 就 是 
上 面 的 程序 也 要 花费 相当 长 的 时 间 ， 几 乎 无 法 接受 。 因 此 目前 许多 静态 工具 只 是 把 感染 
的 路 径 找 到 ， 但 不 计算 和 不 做 比较 ， 需 要 借助 人 工 去 分 辨 所 有 可 能 的 情况 ， 这 就 是 它们 
误 报 率 非常 高 的 原因 。 

在 小 量 的 代码 前 担 下 ， 简 单 的 代码 将 不 是 问题 ， 也 是 可 以 接受 的 。 但 是 ， 如 果 是 大 
量 的 代码 、 复 杂 的 代码 ， 传 统 的 扫描 技术 几乎 不 可 行 ， 因 为 它 将 大 量 浪费 开发 和 安全 审 
计 人 员 的 时 间 ， 有 时 人 有 眼 也 无 能 为 力 。 

近期 ， 美 国 和 以 色 列 的 一 些 技术 人 员 又 提出 了 一 种 新 的 代码 扫描 技术 ， 也 称 之 为 第 
二 代 的 静态 源 代码 扫描 技术 。 

这 种 技术 可 简单 地 理解 为 ， 把 代码 辟 开 ， 把 待 分 析 的 代码 及 代码 之 间 的 关系 以 对 象 
的 方式 存放 在 内 存 中 ， 同 时 也 使 用 了 一 种 可 以 接受 的 算法 在 有 效 的 时 间 里 描绘 出 应 用 的 
路 径 图 形 ， 并 采用 了 一 种 特殊 的 查询 语言 CxQL 来 查找 安全 问题 ， 每 一 个 查询 语句 就 针 
对 一 类 安全 漏洞 问题 ， 因 此 几乎 可 以 达到 完美 的 结果 ， 从 而 消除 了 误 报 。 用 户 可 以 利用 
CxQL 语言 定制 自己 的 查询 语句 (规则)， 查 找 特定 的 安全 和 侵 辑 的 问题 ,解决 漏 报 问 
题 ， 使 得 代码 扫描 变 得 更 加 现实 和 可 用 ; 也 可 以 给 项 目 开 发 节省 大 量 的 时 间 和 人 力 成 
本 ， 大 大 提升 软件 的 安全 性 能 。 

3. 安全 配置 核查 

安全 配置 顾名思义 ， 是 指 设备 自身 的 安全 策略 、 安 全 运行 参数 等 一 系列 安全 指标 合 
集 ， 人 额外 还 包含 部 署 在 此 设备 上 的 支撑 软件 ( 如 数据 库 、 中 间 件 ) 的 安全 指标 。 安 全 
配置 是 保持 设备 系统 在 机 密 性 、 完 整 性 、 可 靠 性 需求 上 的 最 小 安全 控制 。 因 此 通过 确保 
能 满足 安全 配置 的 要 求 ， 从 而 保证 设备 及 业务 的 正常 运行 ， 并 从 中 得 到 了 最 低 程度 的 安 
全 保证 ， 其 重要 性 不 言 而 喻 。 

目前 我 国安 全 配置 的 标准 主要 是 依据 等 级 保护 (1 ~5 级 ) 和 分 级 保护 (秘密 /机 
密 / 绝 密 ) ， 而 具体 落实 和 操作 由 GBXT 和 BMB 打头 的 相关 标准 来 实现 。 其 主要 文件 是 
《信息 安全 技术 信息 系统 安全 等 级 保护 基本 要 求 》 和 《信息 安全 技术 信息 系统 安全 保护 
等 级 定 级 指南 》。 上 述 两 个 方面 的 标准 由 于 存在 内 容 分 散 、 相 互 抵制 等 问题 ， 在 实际 操 
作 中 难以 实现 ， 因 此 需要 寻找 一 种 更 为 高 效 、 准 确 的 核查 方法 。 针 对 上 述 情况 ，2014 
年 6 月 ， 中 央 网 络 安全 和 信息 化 领导 小 组 办 公 室 (中 央 网 信 办 ) 颁布 了 《2014 年 国家 
网 络 安全 检查 工作 方案 中 网 办 发 (2014) 5 号 》 和 《国家 网 络 安全 检查 操作 指南 ( 附 5 
号 文 )》， 明 确 了 网 络 安全 检查 的 内 容 ， 其 中 就 包含 了 配置 核查 的 内 容 。 

4. 渗透 测试 

渗透 测试 ( Penetration Test ) 并 没有 一 个 标准 的 定义 ， 国外 一 些 安全 组 织 达 成 共识 
的 通用 说 法 是 : 渗透 测试 是 通过 模拟 恶意 黑客 的 攻击 方法 , 来 评估 计算 机 网 络 系统 安全 
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的 一 种 方法 。 这 个 过 程 包括 对 系统 的 任何 弱点 、 技 术 缺 陷 或 漏洞 的 主动 分 析 ， 是 从 一 个 
攻击 者 可 能 存在 的 位 置 来 进行 分 析 的 ， 并且 从 这 个 位 置 有 条 件 地 主动 利用 安全 漏洞 。 

渗透 测试 还 具有 的 两 个 显著 特点 是 : 渗透 测试 是 一 个 渐进 的 并 且 逐 步 深 入 的 过 程 ; 
渗透 测试 是 选择 不 影响 业务 系统 正常 运行 的 攻击 方法 而 进行 的 测试 。 作 为 网 络 安全 防范 
的 一 种 新 技术 ， 对 于 网 络 安全 组 织 具 有 实际 应 用 价值 。 

渗透 测试 是 一 种 最 老 的 评估 计算 机 系统 安全 性 的 方法 。 在 20 世纪 70 年 代 初 期 ， 国 
防 部 就 曾 用 这 种 方法 发 现 了 计算 机 系统 的 安全 漏洞 ， 并 促使 开发 构建 更 安全 系统 的 程 
序 。 渗 透 测 试 越 来 越 多 地 被 许多 组 织 用 来 保证 信息 系统 和 服务 的 安全 性 ， 从 而 使 安全 性 
漏 润 在 暴露 之 前 就 被 修复 。 由 于 恶意 代码 、 黑 客 、 不 满员 工 所 造成 的 网 络 和 人 侵 、 数 据 偷 
窃 和 攻击 的 频率 和 严重 程度 会 继续 增加 ， 所 以 网 络 安全 漏洞 和 数据 偷窃 所 造成 的 风险 和 
代价 是 极 大 的 。 由 于 企业 电子 化 的 兴起 及 其 对 安全 性 的 要 求 ， 公 司 网 络 的 远程 访问 也 在 
增加 。 事 实 上 ， 即 使 网 络 实现 管理 的 很 好 ， 并 使 用 了 最 新 的 硬件 和 软件 ， 也 仍然 可 能 受 
到 错误 配置 或 软件 缺陷 的 影响 。 这 可 能 最 终 会 将 敏感 信息 的 访问 权限 泄漏 给 入 侵 者 。 虽 
然 渗透 测试 的 主要 目标 是 发 现 组 织 中 网 络 基础 架构 的 安全 漏洞 ， 但 它 也 可 能 有 许多 次 要 
目标 ， 包 括 测 试 组 织 的 安全 问题 识别 和 响应 能 力 ， 测试 员 工 安全 知识 或 安全 性 政策 规 
范 等 。 


20.1.2 主流 检测 技术 介绍 


1. 漏洞 扫描 技术 

漏洞 扫描 技术 是 一 项 重要 的 主动 防范 安全 技术 。 非 法 入 侵 者 的 攻击 行动 主要 是 利用 
各 种 网 络 漏洞 侵入 ， 使 防火 墙 类 设施 形同虚设 。 漏 洞 扫 描 器 是 自动 检测 远程 或 本 地 主机 
安全 性 弱点 的 程序 。 通 过 使 用 漏洞 扫描 器 ， 发 现 所 维护 的 WEB 服务 器 的 各 种 TCP 端口 
的 分 配 、 提 供 的 服务 、WEB 服务 软件 版 本 和 这 些 服务 及 软件 呈现 在 Internet 上 的 安全 漏 
洞 ， 从 而 在 计算 机 网 络 系统 安全 保卫 战 中 做 到 “有 的 放 矢 ”， 及 时 修补 漏洞 ， 就 可 以 有 
效 地 阻止 人 侵 事件 的 发 生 ， 从 而 构筑 坚固 的 安全 防线 。 

(1) 基于 网 络 的 漏洞 扫描 ”基于 网 络 的 漏洞 扫描 器 ， 就 是 通过 网 络 来 扫描 远程 计 
算 机 中 的 漏洞 。 比 如 利用 低 版 本 的 DNS Bind 漏洞 ， 攻 击 者 能 够 获取 root 权限 侵入 系统 ， 
或 者 攻击 者 能 够 在 远程 计算 机 中 执行 恶意 代码 。 使 用 基于 网 络 的 漏洞 扫描 器 ， 能 够 监测 
到 这 些 低 版 本 的 DNS Bind 是 否 在 运行 。 

一 般 来 说 ， 基 于 网 络 的 漏洞 扫描 器 可 以 看 作 一 种 漏洞 信息 收集 工具 ， 它 根据 不 同 漏 
洞 的 特性 ， 构 造 网 络 数据 包 ， 发 给 网 络 中 的 一 个 或 多 个 目标 服务 器 ， 以 判断 某 个 特定 的 
漏洞 是 否 存在 。 

基于 网 络 的 漏洞 扫描 器 包含 网 络 映射 ( Network Mapping) 和 端口 扫描 功能 ， 一般 
结合 了 Nmap 网 络 端口 扫描 功能 ， 常 常用 来 检测 目标 系统 中 到 底 开 放 了 哪些 端口 ， 并 通 
过 特定 系统 中 提供 的 相关 端口 信息 ， 增 强 了 漏洞 扫描 器 的 功能 。 基 于 网 络 的 漏洞 扫描 
器 ， 一 般 由 以 下 几 个 方面 组 成 。 


245 


| 银行 信息 安全 技术 及 管理 体系 


1) 漏洞 数据 库 模块 : 漏洞 数据 库 包 含 了 各 种 操作 系统 的 各 种 漏洞 信息 ， 以 及 如 何 
检测 漏洞 的 指令 。 由 于 新 的 漏洞 会 不 断 出 现 ， 该 数据 库 需 要 经 常 更 新 ， 以 便 能 够 检测 到 
新 发 现 的 漏洞 。 

2) 用 户 配置 控制 台 模 块 : 用户 配置 控制 台 与 安全 管理 员 进 行 交 互 ， 用 来 设置 要 扫 
描 的 目标 系统 ， 以 及 扫描 哪些 漏洞 。 

3) 扫描 引擎 模块 : 扫描 引擎 是 扫 摘 器 的 主要 部 件 。 根 据 用 户 配置 控制 台 部 分 的 相 
关 设 置 ， 扫 描 引 擎 组 装 好 相应 的 数据 包 ， 发 送 到 目标 系统 ， 将 接收 到 的 目标 系统 的 应 答 
数据 包 ， 与 漏洞 数据 库 中 的 漏洞 特征 进行 比较 ,来 判断 所 选择 的 漏洞 是 否 存在 。 

4) 当前 活动 的 扫描 知识 库 模 块 : 通过 查看 内 存 中 的 配置 信息 ， 该 模块 监控 当前 活 
动 的 扫描 ， 将 要 扫描 的 漏洞 的 相关 信息 提供 给 扫描 引擎 ， 同 时 还 接收 扫描 引 苟 返回 的 扫 
描 结果 。 

5) 结果 存储 器 和 报告 生成 工具 : 报告 生成 工具 是 利用 当前 活动 扫描 知识 库 中 存储 
的 扫描 结果 ， 生 成 扫描 报告 。 扫 描 报 告 将 告诉 用 户 配 置 控 制 台 设置 了 哪些 选项 ， 并 且 根 
据 这 些 设 置 进 行 扫描 后 ， 在 哪些 目标 系统 上 发 现 了 哪些 漏洞 。 

(2) 基于 主机 的 漏洞 扫描 ”基于 主机 的 漏洞 扫描 器 ， 其 扫描 目标 系统 的 漏洞 的 原 
理 , 与 基于 网 络 的 漏洞 扫描 器 的 原理 类 似 ， 但是， 两 者 的 体系 结构 不 一 样 。 基 于 主机 的 
漏洞 扫描 需 通 常 在 目标 系统 上 安装 了 一 个 代理 (Agent) 或 者 是 服务 (Services)， 以便 
能 够 访问 所 有 的 文件 与 进程 ， 这 也 使 基于 主机 的 漏洞 扫描 器 能 够 扫描 更 多 的 漏洞 。 现 在 
流行 的 基于 主机 的 漏洞 扫描 器 在 每 个 目标 系统 上 都 有 个 代理 ， 以 便 向 中 央 服 务 器 反馈 信 
息 。 中 央 服 务 器 通过 远程 控制 台 进 行 管理 。 

基于 主机 的 漏洞 扫描 器 通常 是 一 个 基于 主机 的 Client/Server 三 层 体系 结构 的 漏洞 扫 
描 工 具 。 这 三 层 分 别 为 漏洞 扫描 器 控制 台 、 漏 洞 扫 描 需 管理 器 和 漏洞 扫 摘 器 代理 。 

漏洞 扫描 需 控 制 台 安装 在 一 台 计 算 机 中 ， 漏 洞 扫 描 需 管理 需 安 装 在 企业 网 络 中 ， 所 
有 的 目标 系统 都 需要 安装 漏洞 扫描 器 代理 。 漏 洞 扫描 器 代理 安装 完 后 ， 需 要 向 漏洞 扫 摘 
器 管理 器 注册 。 当 漏洞 扫描 器 代理 收 到 漏洞 扫描 妖 管 理 器 发 来 的 扫描 指令 时 ， 漏 洞 扫描 
器 代理 单独 完成 本 目标 系统 的 漏洞 扫描 任务 ;扫描 结束 后 ， 漏 洞 扫 描 器 代理 将 结果 传 给 
漏洞 扫描 器 管理 器 ， 最 终 用 户 可 以 通过 漏洞 扫描 需 控 制 台 浏览 扫描 报告 。 

2. 源 代码 扫描 技术 

随 着 市 场 竞 争 的 日 益 激 烈 ， 以 及 通信 与 计算 机 技术 的 不 断 发 展 ， 业 务 支 持 系统 的 软 
件 规 模 日 益 庞 大 ， 应 用 环境 日 益 复 杂 ， 新 业务 需求 层出不穷 ， 旧 业务 不 断 更 新 优化 ; 对 
系统 源 代 码 的 质量 要 求 也 越 来 越 高 。 从 提高 系统 的 安全 性 及 稳定 性 出 发 必须 进行 源 代码 
质量 控制 ， 保 证 源 代码 的 质量 ， 确 保 系统 稳定 高 效 的 运行 。 

互联 网 的 飞速 发 展 ， 各 种 网 络 应 用 不 断 成 熟 ， 各 种 开发 技术 层出不穷 , 上 网 已 经 成 
为 人 们 日 常生 活 中 的 一 个 重要 组 成 部 分 。 在 享受 互联 网 带 来 的 各 种 方便 的 同时 ,不 断 受 
到 黑客 、 病 毒 、 木 马 等 各 种 攻击 的 安全 问题 也 变 得 越 来 越 重要 。 

根据 信息 技术 研究 与 顾问 咨询 公司 Gartner 统计 数据 显示 ，75% 的 黑客 攻击 发 生 在 
应 用 层 ; 而 由 NIST 统计 显示 ，92% 的 漏洞 属于 应 用 层 而 非 网 络 层 。 因 此 ， 应 用 软件 自 
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身 的 安全 问题 是 信息 安全 领域 最 为 关心 的 问题 ， 也 是 面临 的 一 个 新 的 领域 ， 需 要 所 有 在 
应 用 软件 开发 和 管理 的 各 个 层面 的 成 员 共 同 的 努力 来 完成 。 越 来 越 多 的 安全 产品 厂商 也 
已 经 在 考虑 关注 软件 开发 的 整个 流程 ， 将 安全 检测 与 监测 融入 需求 分 析 、 概 要 设计 、 详 
细 设 计 、 编 码 、 测 试 等 各 个 阶段 以 全 面 保证 应 用 安全 。 

对 于 应 用 安全 性 的 检测 ， 目 前 大 多 数 是 通过 测试 的 方式 来 实现 。 测 试 大 体 上 分 为 黑 
盒 测试 和 白 盒 测试 两 种 。 黑 盒 测试 一 般 使 用 的 是 渗透 的 方法 ， 这 种 方法 仍然 带 有 明显 的 
黑 盒 测试 本 身 的 不 足 ， 需 要 大 量 的 测试 用 例 来 进行 覆盖 ， 且 测试 完成 后 仍 无 法 保证 软件 
是 否 仍然 存在 风险 。 现 在 白 盒 测试 中 源 代码 扫描 越 来 越 成 为 一 种 流行 的 技术 ， 使 用 源 代 
码 扫描 产品 对 软件 进行 代码 扫描 ， 一 方面 可 以 找 出 潜在 的 风险 ， 从 内 对 软件 进行 检测 ， 
提高 代码 的 安全 性 ， 另 一 方面 也 可 以 进一步 提高 代码 的 质量 。 黑 盒 的 活 透 测试 和 白 盒 的 
源 代码 扫描 内 外 结合 ， 可 以 使 得 软件 的 安全 性 得 到 很 大 程度 的 提高 。 

3. 渗透 测试 技术 

渗透 测试 ， 是 指 为 了 对 客户 目标 网 络 的 安全 性 进行 实际 检查 ， 进 行 带 有 攻击 性 行为 
的 全 面 的 安全 压力 测试 。 渗 透 测 试 是 评估 客户 目标 主机 和 网 络 的 安全 性 时 模仿 黑客 特定 
攻击 行为 的 过 程 。 详 细 地 说 ， 是 指 安全 工程 师 尽 可 能 完整 地 模拟 黑客 使 用 的 漏洞 发 现 技 
术 和 攻击 手段 ， 对 客户 目标 网 络 的 安全 性 进行 深入 的 探测 ， 发 现 系 统 最 脆弱 环节 的 过 
程 。 测 试 过 程 中 ,会 采用 各 种 手段 和 途径 ， 包 括 端 口 扫描 、 漏 洞 扫描 、 密 码 猜 测 、 密 码 
破解 、 数 据 窃听 、 伪 装 欺 骗 等 技术 方式 ， 最 终 目 的 就 是 为 了 检验 该 网 络 各 个 环节 的 安 
全 性 。 

(1) 信息 收集 技术 ”信息 收集 是 每 一 步 渗 透 攻击 的 前 提 ， 通 过 信息 收集 可 以 有 针 
对 性 地 制订 模拟 攻击 测试 计划 ， 提 高 模拟 攻击 的 成 功率 ， 同 时 可 以 有 效 地 降低 攻击 测试 
对 系统 正常 运行 造成 的 不 利 影 响 。 信 息 收 集 的 方法 包括 Ping Sweep、DNS Sweep、DNS 
zone transfer 、 操作 系统 间 纹 判别 、 应 用 判别 、 账号 扫描 、 配置 判别 等 。 信息 收集 常用 的 
工具 包括 商业 网 络 安全 漏洞 扫描 软件 (如 游 志 、 极 光 等 ) 、 免 费 安全 检测 工具 (如 
NMAP、NESSUS 等 ) 。 操 作 系 统 内 置 的 许多 功能 (如 TELNET、NSLOOKUP、 正 等 ) 也 
可 以 作为 信息 收集 的 有 效 工 具 。 

渗透 测试 在 实际 进行 中 有 以 下 两 种 不 同 的 方法 。 

1) 墨盒 测试 。 黑 盒 测 试 又 被 称 为 “Zero-knowledge Testing”， 渗 透 测试 工程 师 完全 
处 于 对 系统 一 无 所 知 的 状态 ， 通 常 这 类 测试 的 最 初 信息 来 自 于 DNS、WEB 、E-Mail 及 
各 种 公开 对 外 的 服务 器 。 

黑 盒 测试 被 称 为 功能 测试 或 数据 测试 ， 在 测试 时 ， 将 被 测 软件 视 为 一 个 不 能 打开 的 
盒子 ， 在 完全 不 考虑 程序 内 部 结构 和 内 部 特性 的 情况 下 进行 测试 。 采 用 黑 盒 测试 的 主要 
目的 是 在 已 有 软件 产品 所 应 具有 的 功能 等 基础 上 进行 下 列 操作 

GD 检查 程序 功能 是 否 按照 需求 规格 说 明 书 的 要 求 正 常 使 用 ， 测 试 每 个 功能 是 否 有 
遗漏 ， 测 试 性 能 特性 是 否 满足 要 求 。 

@ 测试 人 机 交互 是 否 错误 ， 检 测 数 据 结 构 或 外 部 数据 库 访 问 是 否 错误 ， 程 序 是 否 
能 适当 地 输入 数据 而 产生 正确 的 输出 结果 ,保持 外 部 信息 (如 数据 库 或 文件 ) 的 完 
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整 性 。 
@) 检测 程序 初始 化 和 终止 方面 的 错误 。 

2) 白 盒 测试 。 白 盒 测 试 与 黑 盒 测试 不 同 ， 渗 透 测 试 工程 师 可 以 通过 正常 渠道 向 被 
测 者 要 求 取 得 各 种 资料 ， 包 括 网 络 拓扑 、 员 工资 料 甚至 网 站 或 其 他 程序 的 代码 片断 ， 也 
能 够 与 被 测 组 织 内 的 其 他 员工 ( 销售、 程序 员 、 管 理 者 ……) 进行 面对面 的 沟通 。 这 
类 测试 的 目的 是 模拟 客户 组 织 内 部 雇员 的 越权 操作 ， 并 预防 万 一 组 织 重要 信息 泄露 ， 网 
络 黑客 能 利用 这 些 信息 对 组 织 构成 的 危害 。 

测试 目标 不 同 ， 采 用 的 技术 也 会 有 一 定 差异 。 测 试 者 在 系统 网 络 的 不 同位 置 、 不 同 
攻击 路 径 下 进行 渗透 测试 ， 结 果 反 应 的 问题 杀 然 不 同 。 

3) 内 网 测试 。 内 网 测试 指 的 是 渗透 测试 工程 师 由 内 部 网 络 发 起 测试 ， 这 类 测试 能 
够 模拟 客户 组 织 内 部 违规 操作 者 的 行为 。 

4) 外 网 测试 。 外 网 测试 指 的 是 渗透 测试 工程 师 完全 处 于 外 部 网 络 (如 拨号 、 
ADSL 或 外 部 光纤 ) ， 模 拟 从 客户 组 织 外 部 发 起 的 攻击 行为 ， 可 能 来 自 于 对 客户 组 
织 内 部 信息 一 无 所 知 的 攻击 者 也 可 能 来 自 于 对 客户 组 织 内 部 信息 一 清二 楚 的 攻 
击 者 。 

(2) 渗透 测试 流程 ”渗透 测试 可 以 分 为 3 个 阶段 ， 分 别 为 预 攻 击 、 攻 击 、 后 攻击 ， 
如 图 20-1 所 示 。 


预 攻 击 攻击 后 攻击 


目的 : 目的 : 


收集 信息 ， 进 行进 进行 攻击 ， 获 得 系 
一 步 攻 击 决策 统 的 一 定 权限 


内 容 : 内 容 : 
获得 域名 及 人 P 分 布 获得 远程 权限 


获得 拓扑 及 OS 等 进入 远程 系统 
获得 端口 和 服务 提升 本 地 权限 
获得 应 用 系统 情况 进一步 扩展 权限 
跟踪 新 漏洞 发 布 进行 实质 性 操作 


图 20-1 渗透 过 程 图 


1) 预 攻击 阶段 。 
QD 基本 网 络 信息 获取 : 
<> ping 目标 网 络 得 到 IP 地 址 和 TTL 等 信息 。 
> tcptraceroute 和 traceroute 的 结果 。 
<> whois 结果 。 
<> netcraft 获取 目标 可 能 存在 的 域名 、WEB 及 服务 器 信息 。 
<> curl 获取 目标 WEB 基本 信息 。 
<> nmap 对 网 站 进行 端口 扫描 并 判断 操作 系统 类 型 。 
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<> google 、yahoo 、baidu 等 搜索 引擎 获取 目标 信息 。 

< 人 采用 FWtester、hping3 等 工具 进行 防火 墙 规则 探测 。 

@) 常规 漏洞 扫描 和 采用 商用 软件 进行 检测 : 

<> 结合 使 用 游 刃 与 Nessus 等 商用 或 免费 的 扫描 工具 进行 漏洞 扫描 。 

< 采用 SolarWind 对 网 络 设备 等 进行 发 现 。 

< 采用 nikto 、webinspect 等 软件 对 WEB 常见 漏洞 进行 扫描 。 

<> 采用 如 AppDetective 之 类 的 商用 软件 对 数据 库 进行 扫描 分 析 。 

@) 采用 WebProxy、SPIKEProxy、WebScarab、ParosProxy、Absinthe 等 工具 进行 
分 析 : 

<> 用 Ethereal 抓 包 协助 分 析 。 

< 用 webscan 、fuzzer 进行 SQL 注入 和 XSS 漏洞 初步 分 析 。 

<> 手工 检测 SQL 注 人 和 XSS 漏洞 。 

< 采用 类 似 0Scanner 的 工具 对 数据 库 进 行 分 析 。 

@ 应 用 分 析 的 注意 事项 : 

<> 检查 应 用 系统 架构 、 防 止 用 户 绕 过 系统 直接 修改 数据 库 。 

<> 检查 身份 认证 模块 ， 防 止 非法 用 户 绕 过 身份 认证 。 

<> 检查 数据 库 接 口 模块 ， 防 止 用 户 获 取 系 统 权 限 。 

<> 检查 文件 接口 模块 ， 防 止 用户 获 取 系 统 文件 。 

<> 检查 其 他 安全 威胁 。 

2) 攻击 阶段 。 

QD 基于 通用 设备 、 数 据 库 、 操 作 系统 和 应 用 的 攻击 。 可 以 采用 各 种 公开 及 私有 的 
缓冲 区 溢出 程序 代码 ， 一 个 比较 好 的 Exploit 搜索 站 点 是 : http: //www. frsirt. com/ ex- 
ploits+。 也 可 以 采用 诸如 Metasploit Framework 之 类 的 利用 程序 集合 。 

G@) 基于 应 用 的 攻击 。 基 于 WEB 、 数 据 库 或 特定 的 B/S 或 C/S 结构 的 网 络 应 用 程序 
存在 的 弱点 进攻 击 ， 常 见 的 如 SQL 注入 攻击 、 蜂 站 脚本 攻击 等 ， 均 属于 这 一 类 型 。 

@) 口令 猜 解 技术 。 口 令 是 信息 安全 里 永恒 的 主题 ， 进 行 口令 猜 解 可 以 采用 游 刃 、 
X-Scan 、Brutus 、Hydra、 漳 雪 等 工具 。 

3) 后 攻击 阶段 。 

中 口令 嗅 探 与 键盘 记录 。 通 过 嗅 探 、 键 盘 记录 、 木 马 等 软件 获取 客户 相关 口令 及 
键盘 信息 。 

@) 口令 破解 。 利 用 LOphtCrack、jJohntheRipper、Cain 等 软件 破解 客户 加 密 后 的 


口令 。 


20.2 案例 分 析 : 银行 渗透 测试 方案 


某 股 份 银行 决定 进行 渗透 测试 ， 制 定 的 渗透 测试 方案 如 下 。 
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20.2.1 渗透 目标 和 范围 


1. 测试 目标 

1) 更 好 地 发 现 当前 系统 可 能 存在 安全 隐患 ， 避 免 发 生 和 危害 性 的 安全 事件 。 

2) 更 好 地 为 今后 系统 建设 提供 指导 和 有 价值 的 意见 及 建议 。 

2. 测试 的 范围 

本 期 渗透 测试 服务 范围 所 包含 的 各 个 系统 ， 可 分 为 以 下 3 类 。 

1) 网 站 及 WEB 系统 : 门户 网 站 、 网 银 系统 ( 含 网 站 、 对 公 对 私 客 户 端 等 )、 信 用 
卡 网 站 ( 含 网 上 商城 、 积 分 系统 等 )、 企 业 年 金 WEB、 机 票 代 支 付 系 统 WEB、 特 结 系 
统 、 二 套 MAIL 系统 。 

2) WAP 网 站 : 手机 银行 。 

3) 专用 设备 : VPN 远程 管理 系统 专用 设备 、 网 络 POS 专用 设备 。 


20.2.2 测试 内 容 


1. 网 站 及 WEB 系统 

针对 网 站 及 WEB 系统 的 渗透 测试 ， 将 进行 以 下 方面 的 测试 ; 

1) WEB 服务 器 安全 漏洞 。 

2) WEB 服务 需 错 误 配 置 。 

3) SQL 注入 。 

4) XSS (路 站 脚本 ) 。 

5) CRLF 注入 。 

6) 目录 遍历 。 

7) 文件 包含 。 

8) 输入 验证 。 

9) 认证 。 

10) 逻辑 错误 。 

11 ) Google Hacking。 

12) 密码 保护 区 域 猜测 。 

13) 字典 攻击 。 

14) 特定 的 错误 页 面 检测 。 

15) 脆弱 权限 的 目录 。 

16) 危险 的 HTTP 方法 (如 PUT、DELETE ) 。 

2. WAP 网 站 系统 

针对 WAP 网 站 系统 的 渗透 测试 ， 将 进行 以 下 方面 的 测试 : 
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1) WEB 服务 器 安全 漏洞 。 
2) WEB 服务 器 错误 配置 。 
3) SQL 注入 。 

4) XSS (路 站 脚本 ) 。 

5) CRLF 注入 。 

6) 目录 遍历 。 

7) 输入 验证 。 

8) 认证 。 

9) 逻辑 错误 。 

10) 字典 攻击 。 

11) 特定 的 错误 页 面 检测 。 
3. 专用 设备 

针对 专用 设备 的 渗透 测试 ， 将 进行 以 下 方面 的 测试 (根据 实际 情况 决定 ) : 
1) SQL 注入 。 

2) XSS ( 跨 站 脚本 )。 

3) 目录 遍历 。 

4) 输入 验证 。 

5) 认证 。 

6) 逻辑 错误 。 

7) 字典 攻击 。 

8) 特定 的 错误 页 面 检测 。 
9) 脆弱 权限 的 目录 。 


20. 2.3 测试 流程 


1. 方案 制定 部 分 

渗透 测试 团队 GS 公司 获取 客户 的 书面 授权 许可 后 ， 才 进行 渗透 测试 的 实施 。 并 且 
就 实施 范围 、 方 法 、 时 间 、 人 员 等 具体 的 方案 与 客户 进行 交流 ， 得 到 了 客户 的 认同 。 

在 测试 实施 之 前 ， 渗 透 测 试 团队 GS 公司 会 做 到 让 客户 对 渗透 测试 过 程 和 风险 的 知 
晓 ， 使 随后 的 正式 测试 流程 都 在 客户 的 控制 下 。 

2. 信息 收集 部 分 

言 息 收集 : 操作 系统 类 型 指纹 收集 、 网 络 拓扑 结构 分 析 、 端 口 扫描 和 目标 系统 提供 
的 服务 识别 等 ， 可 以 采用 一 些 商 业 安 全 评估 系统 (如 Unisscanner、 极 光 等 )、 检 测 工具 
(NESSUS、Nmap 等 ) 进行 收集 。 

3. 测试 实施 部 分 

在 规避 防火 墙 、 入 侵 检测 、 防 毒 软件 等 安全 产品 监控 的 条 件 下 进行 操作 系统 可 检测 
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到 的 漏洞 测试 与 应 用 系统 检测 到 的 漏洞 测试 (如 WEB 应 用 )， 此 阶段 如 果 成 功 的 话 ， 
可 能 获得 普通 权限 。 

渗透 测试 人 员 可 能 用 到 的 测试 手段 有 扫描 分 析 、 溢 出 测试 、 口 令 爆 破 、 社 会 工程 
学 、 客 户 端 攻击 、 中 间 人 攻击 等 ， 用 于 测试 人 员 顺 利 完成 工程 。 在 获取 到 普通 权限 后 ， 
尝试 由 普通 权限 提升 为 管理 员 权 限 ， 获 得 对 系统 的 完全 控制 权 。 此 过 程 将 循环 进行 ， 直 
到 测试 完成 ， 最 后 由 渗透 测试 人 员 清 除 中 间 数 据 。 

4. 分 析 报 告 输出 

渗透 测试 人 员 根 据 测试 的 过 程 结 果 编 写 直 观 的 渗透 测试 服务 报告 。 内 容 包 括 具体 的 
操作 步骤 描述 、 响 应 分 析 及 最 后 的 安全 修复 建议 。 


20.2.4 测试 工具 


拟 选 用 的 测试 工具 如 下 : 

1) 拓扑 分 析 工 具 : DNSSweep 、Nslookup 等 。 

2) 自动 化 扫描 工具 : 极光 、Unisscanner 、Nessus 、Retina、ISS、SSS 等 。 
3) 端口 扫描 、 服 务 检测 : Nmap 、SuperScan 、THC- Amap 等 。 

4) 密码 、 口 令 破 解 : Johntheripper、LOphtcrack 、MD5Crack 、Cain 等 。 
5) 嗅 探 分 析 工 具 . Ethereal、 Entercap 、Dsniff 等 。 

6) 拒绝 服务 (DoS) 工具 : HPING 等 。 

7) Exploiting 利用 工具 : Metasploit Framework 、CoreImpact 、Canvas 等 。 
8) 应 用 缺陷 分 析 工 具 : HDSI3 、Domain3. 5 、sqlaccess 等 。 


20.2.5 测试 的 风险 规避 


在 渗透 测试 过 程 中 ， 尽 量 避 免 做 影响 正常 业务 运行 的 操作 。 但 是 由 于 测试 过 程 变化 
多 端 ， 渗 透 测试 服务 仍然 有 可 能 对 网 络 、 系 统 运行 造成 不 同 程度 的 影响 ， 严 重 的 后 果 是 
可 能 造成 服务 停止 ， 甚 至 是 宕 机 。 比 如 渗透 人 员 实 施 系统 权限 提升 操作 时 ， 突 遇 系统 停 
电 ， 再 次 重启 时 可 能 会 出 现 系统 无 法 启动 的 故障 等 。 为 此 ， 拟 采取 以 下 多 条 策略 来 规避 
渗透 测试 带 来 的 风险 。 

1. 备份 策略 

为 防范 渗透 过 程 中 的 异常 问题 ， 测 试 的 目标 系统 需要 事先 做 一 个 完整 的 数据 备份 ， 
以 便 在 问题 发 生 后 能 及 时 恢复 工作 。 

对 银行 转账 、 电 信 计 费 、 电 力 调度 等 不 可 接受 可 能 风险 的 系统 的 测试 ， 可 以 采取 对 
目标 副本 进行 渗透 的 方式 加 以 实施 。 这 样 就 需要 完整 的 复制 目标 系统 的 环境 ， 如 人 硬件 平 
台 、 操 作 系 统 、 应 用 服务 、 程 序 软 件 、 业 务 访问 等 ,然后 对 该 副本 再 进行 渗透 测试 。 

2. 应 急 策 略 

测试 过 程 中 ， 如 果 目 标 系统 出 现 无 响应 、 中 断 或 者 崩 淡 等 情况 ， 会 立即 中 止 渗透 测 
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试 ， 并 配合 客户 技术 人 员 进 行 修 复 处 理 等 。 在 确认 问题 、 修 复 系统 、 防 范 此 故障 再 重演 
后 ， 经 客户 方 同意 才能 继续 进行 其 余 的 测试 。 

3. 时 间 策 略 

为 减轻 渗透 测试 造成 的 压力 和 预备 风险 排除 时 间 ， 安 排 测试 的 时 间 一 般 在 业务 量 不 
高 的 时 间 段 ， 比 如 夜间 某 个 时 间 。 

4. 测试 策略 

为 了 防范 测试 导致 的 业务 中 断 ， 可 以 不 做 一 些 拒绝 服务 类 的 测试 。 非 常 重要 的 系统 
不 建议 做 深入 的 测试 ， 避 免 意外 前 省 而 造成 不 可 挽回 的 损失 ; 具体 测试 过 程 中 ， 最 终结 
果 可 以 由 测试 人 员 做 推测 ， 而 不 实施 危险 的 操作 步骤 加 以 验证 等 。 

5. 沟通 策略 

测试 过 程 中 ， 确 定 测试 人 员 和 客户 方 配合 人 员 的 联系 方式 ， 便 于 及 时 沟通 并 解决 工 
程 中 的 难点 。 
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银行 经 过 多 年 的 安全 建设 , 已 经 形成 了 覆盖 多 方面 领域 的 安全 专业 系统 ， 但 是 随 着 
安全 风险 的 日 益 变化 ， 这 些 安全 专业 系统 也 带 来 了 新 的 安全 需求 。 

1) 存在 大 量 的 边界 网 络 安全 设备 (防火墙 、 IDS、IPS)、 安 全 设备 日 志 不 统一 、 
查看 和 归档 烦琐 ， 网 络 系统 庞大 并 且 持 续 增 长 ， 设 备 接 人 和 维护 工作 日 益 繁重 。 

2) 安全 工作 覆盖 范围 广 ， 业 务 系统 较 多 ， 资 产 无 法 迅速 定位 。 

3) 安全 设备 诸如 防火 墙 、 交 换 机 、 路 由 器 等 ， 存 在 日 志 不 统一 、 查 看 和 归档 烦琐 
等 问题 。 

4) 安全 告警 多 而 复杂 。 在 繁多 的 安全 告警 中 ， 如 何 保证 不 会 错过 严重 的 、 影 响 业 
务 的 告警 ， 以 及 如 何 快速 实时 地 响应 处 理 。 

5) 事件 分 析 关 联 性 差 ， 效 率 不 高 ， 分 析 报 告 可 读 性 不 高 。 

6) 日 常 漏洞 检查 工作 、 基 线 加 固 工 作 繁 重 ， 严 重 影响 工作 效率 和 工作 时 间 。 

因此 ， 对 于 银行 来 说 ， 应 建立 主动 安全 的 观念 ， 建 设 一 个 安全 集中 的 运营 平台 ， 实 
现 对 风险 的 集中 管理 ， 并 部 分 解决 以 上 安全 管理 和 工作 难题 。 同 时 ， 借 助 系统 的 建设 ， 
使 得 安全 运 维 工作 及 人 员 得 到 有 效 监 管 ， 高 效 规范 地 对 事件 进行 处 理 ， 对 网 络 安 全 状况 
进行 总 体 量化 管理 ， 很 好 地 保障 业务 系统 连续 性 。 


21.1.1 深度 包 检 测 技 术 (DPI) 


深度 包 检 测 技 术 (DPI) 是 一 种 基于 应 用 层 的 流量 检测 和 控制 技术 ， 当 卫 数据 包 、 
TCP 或 UDP 数据 流通 过 基于 DPI 技术 的 带宽 管理 系统 时 ， 该 系统 通过 深入 读 取 IP 包 载 
荷 的 内 容 来 对 0SI 七 层 协议 中 的 应 用 层 信息 进行 重组 ， 从 而 得 到 整个 应 用 程序 的 内 容 ， 
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然后 按照 系统 定义 的 管理 策略 对 流量 进行 整形 操作 。 其 检测 技术 有 以 下 3 种 。 

1. 基于 “特征 字 ” 的 识别 技术 

不 同 的 应 用 通常 依赖 于 不 同 的 协议 ， 而 不 同 的 协议 都 有 其 特殊 的 指纹 ， 这 些 指纹 可 
能 是 特定 的 端口 、 特 定 的 字符 串 或 者 特定 的 比特 序列 。 基 于 “特征 字 ” 的 识别 技术 通 
过 对 业务 流 中 特定 数据 报 文中 的 “指纹 ”信息 的 检测 ， 以 确定 业务 流 承 载 的 应 用 。 

根据 具体 检测 方式 的 不 同 ， 基 于 “特征 字 ” 的 识别 技术 又 可 以 被 分 为 固定 位 置 特 
征 字 匹配 、 变 动 位 置 的 特征 匹配 及 状态 特征 匹配 3 种 技术 。 通 过 对 “指纹 ”信息 的 升 
级 ， 基 于 “特征 字 ” 的 识别 技术 可 以 很 方便 地 进行 功能 扩展 ， 实 现 对 新 协议 的 检测 。 
如 Bittorrent 协议 的 识别 ， 通 过 反 向 工程 的 方法 对 其 对 等 协议 进行 分 析 ， 所 谓 对 等 协议 
指 的 是 peer 与 peer 之 间 交 换 信息 的 协议 。 对 等 协议 由 一 个 握手 开始 ， 后 面 是 循环 的 消 
息 流 ， 每 个 消息 的 前 面 ， 都 有 一 个 数字 来 表示 消息 的 长 度 。 在 其 握手 过 程 中 ， 首 先是 先 
发 送 19， 跟着 是 字符 串 “BitTorrent protocol ”， 那么 “19BitTorrent Protocol” 就 是 Bittor- 
Trent 的 让 寺 征 字 ” o 

2. 应 用 层 网 关 识 别 技术 

某 些 业务 的 控制 流 和 业务 流 是 分 离 的 ， 业 务 流 没有 任何 特征 。 这 种 情况 下 ， 就 需要 
采用 应 用 层 网 关 识 别 技术 。 应 用 层 网 关 需 要 先 识别 出 控制 流 ， 并 根据 控制 流 的 协议 通过 
特定 的 应 用 层 网 关 对 其 进行 解析 ， 从 协议 内 容 中 识别 出 相应 的 业务 流 。 

对 于 每 一 个 协议 ， 需 要 有 不 同 的 应 用 层 网 关 对 其 进行 分 析 ， 如 SIP、H323 协议 都 
属于 这 种 类 型 。SIP/H323 通过 信 令 交互 过 程 ， 协 商 得 到 其 数据 通道 ， 一 般 是 RTP 格式 
封装 的 语音 流 。 也 就 是 说 ， 纯 粹 检测 RTP 流 并 不 能 得 出 这 条 RTP 流 是 通过 哪 种 协议 建 
立 的 。 只 有 通过 检测 SIPZH323 的 协议 交互 ， 才 能 得 到 其 完整 的 分 析 。 

3. 行为 模式 识别 技术 

行为 模式 识别 技术 是 基于 对 终端 已 经 实施 的 行为 的 分 析 ， 判 断 出 用 户 正在 进行 的 动 
作 或 者 即将 实施 的 动作 。 行 为 模式 识别 技术 通常 用 于 无 法 根据 协议 判断 的 业务 的 识别 。 
例如 ，SPAM (垃圾 邮件 ) 业务 流 和 普通 的 E-Mail 业务 流 从 E-Mail 的 内 容 上 看 是 完全 
一 致 的 ， 只 有 通过 对 用 户 行为 的 分 析 ， 才 能 够 准确 的 识别 出 SPAM 业务 。 

以 上 3 种 识别 技术 分 别 用 于 不 同类 型 协议 的 识别 ,无 法 相互 蔡 代 。 

深度 包 检 测 技 术 对 网 络 流量 的 监控 与 检测 ， 成 为 集中 运营 基础 数据 的 重要 来 源 
Re 


21.1.2 大 数据 技术 


2012 年 ,“ 大 数据 ”(Big Data) 迅速 成 为 全 球 信息 技术 界 的 热点 , 《纽约 时 报 》 表 

示 “ 大 数据 时 代 已 经 降临 ”。 大 数据 并 非 新 概念 ， 但 2012 年 以 来 所 提 到 的 大 数据 包含 
了 特定 含义 ， 必 须 具 备 以 下 4 个 特征 ， 即 Volume (〈 体 量 ) ， 数 据 的 规模 庞大 、 增 长 速度 
快 ， 从 TB (1000GB) 级 别 ， 跃 升 到 PB (1000TB) 甚至 EB (1000PB) 、ZB (1000EB) 
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级 别 ; Variety (多 样 ) ， 数 据 的 类 型 繁多 、 构 成 复杂 ， 除 了 传统 的 结构 化 数据 外 ， 还 包 
括 了 文字 、 语 音 、 视 频 、 文 档 、 图 片 等 多 种 非 结构 化 数据 ; Value (价值 )， 数 据 的 价值 
潜力 巨大 , 但 隐藏 较 深 ,需要 用 综合 多 和 神 复 杂 的 分 析 算 法 对 数据 进行 “提纯 ”; Velocity 
(速度 ) ， 数 据 的 处 理 速 度 快 、 时 效 性 强 ， 要 进行 实时 或 准 实时 的 处 理 ， 并 实时 反馈 处 
理 结 果 。 

总 体 来 说 ， 现 代 大 数据 的 主体 是 非 结 构 化 数据 。 在 当前 的 数据 构成 上 ，80% 的 数据 
是 非 结 构 化 或 半 结 构 化 的 ， 结 构 化 数据 仅 有 20% 。 如 果 说 对 于 结构 化 数据 的 处 理 和 分 
析 已 经 较为 成 熟 的 话 ， 那 么 ， 对 于 非 结构 化 数据 的 处 理 和 分 析 才 刚刚 起 步 ， 但 已 经 呈现 
出 一 派生 机 勃勃 的 景象 ， 这 也 正 是 “大 数据 时 代 已 经 降临 ”的 标志 。 

中 国有 着 庞大 的 人 群 和 应 用 市 场 ， 复 杂 且 充满 变化 ， 如 此 庞大 的 用 户 群 体 ， 使 中 国 
即将 成 为 世界 上 最 大 数据 的 国家 ， 探 索 以 大 数据 为 基础 的 解决 方案 ， 是 中 国 的 银行 提高 
自 秧 竞争 力 的 重要 手段 。 可 以 说 ， 大 数据 时 代 对 银行 的 数据 驾驭 能 力 提出 了 新 的 挑战 ， 
也 为 银行 获得 更 为 深刻 、 全 面 的 洞察 能 力 提 供 了 前 所 未 有 的 空间 与 潜力 。 

大 数据 技术 在 集中 运营 中 有 广泛 应 用 ， 是 进行 安全 态势 分 析 的 重要 技术 。 


21.1.3 数据 融合 技术 


提 到 大 数据 ， 就 必须 提 到 数据 融合 (Data Fusion) 。 数 据 融 合 是 指 将 来 自 多 个 信息 
源 的 数据 收集 起 来 ， 进 行 关 联 、 组 合 ， 以 
提升 数据 的 有 效 性 和 精确 度 。 可 以 看 出 ， 
数据 融合 的 研究 是 大 数据 分 析 的 基础 性 工 
作 。 目 前 ， 大 部 分 安全 态势 分 析 的 模型 都 
是 基于 美国 的 军事 机 构 JDL 给 出 的 数据 
融合 模型 衍生 出 来 的 〈 图 21-1) 。 

在 这 个 基于 人 机 交互 的 模型 中 ， 态 势 
分 析 的 实现 被 分 为 了 5 个 级 别 (阶段 )， 
首先 是 对 信息 技术 资源 进行 要 素 信息 采 
集 ， 然 后 经 过 不 同 级 别 的 处 理 及 其 不 断 反 
馈 ， 最 终 通 过 态势 可 视 化 实现 人 机 交互 。 

(1) 数据 预 处 理 ” 可 选 的 级 别 ， 对 
于 部 分 不 够 规整 的 数据 进行 预 处 理 ， 如 用 图 21-1 典型 的 态势 感知 模型 
户 分 布 式 处 理 、 杂 质 过 滤 等 。 

(2) 事件 提取 ”是 指 要 素 信息 采集 后 的 事件 标准 化 、 修 订 ， 以 及 事件 基本 特征 的 
扩展 。 

(3) 态势 评估 ”包括 关联 分 析 和 态势 分 析 。 态 势 评估 的 结果 是 形成 态势 分 析 报 告 
和 网 络 综合 态势 图 ， 为 网 络 管理 员 提 供 辅 助 决策 信息 。 

(4) 影响 评估 ” 它 将 当前 态势 映射 到 未 来 ， 对 参与 者 设想 或 预测 行为 的 影响 进行 
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评 佑 。 

(5) 资源 管理 、 过 程控 制 与 优化 ”通过 建立 一 定 的 优化 指标 ， 对 整个 融合 过 程 进 
行 实时 监控 与 评价 ， 实 现 相关 资源 的 最 优 分 配 。 

由 于 网 络 空 间 态 势 分 析 的 数据 来 自 众 多 的 网 络 设备 ， 其 数据 格式 、 数 据 内 容 、 数 据 
质量 千差万别 ， 存 储 形式 各 异 ， 表 达 的 语义 也 不 尽 相 同 。 如 果 能 够 将 这 些 使 用 不 同 途 
径 、 来 源 于 不 同 网 络 位 置 、 具 有 不 同 格式 的 数据 进行 预 处 理 ， 并 在 此 基础 上 进行 归 一 化 
融合 操作 ， 就 可 以 为 网 络 安全 态势 的 感知 提供 更 为 全 面 、 精 准 的 数据 源 ， 从 而 得 到 更 为 
准确 的 网 络 安全 态势 。 

数据 融合 技术 是 一 个 多 级 、 多 层面 的 数据 处 理 过程 ， 主 要 完成 对 来 自 网 络 中 具有 相 
似 或 不 同 特征 模式 的 多 源 信息 进行 互补 集成 ， 完 成 对 数据 的 自动 监测 、 关 联 、 相 关 、 售 
计 及 组 合 等 处 理 ， 从 而 得 到 更 为 准确 、 可 靠 的 结论 。 数 据 融合 按 信息 抽象 程度 可 分 为 从 
低 到 高 的 3 个 层次 : 数据 级 融合 、 特 征 级 融合 和 决策 级 融合 ， 其 中 特征 级 融合 和 决策 级 
融合 在 态势 分 析 中 具有 较为 广泛 的 应 用 。 


21.1.4 数据 挖掘 技术 


安全 集中 运营 采集 大 量 网 络 设备 和 安全 设备 的 数据 ， 经 过 数据 融合 处 理 后 ， 转 化 为 
格式 统一 的 数据 单元 。 这 些 数 据 单元 数量 庞大 ， 携 带 的 信息 众多 ， 有 用 信息 与 无 用 信息 
鱼龙混杂 ， 难 以 辨识 。 要 掌握 相对 准确 、 实 时 的 网 络 安全 态势 ， 必 须 剔 除 干 扰 信 息 。 数 
据 挖 掘 就 是 指 从 大 量 的 数据 中 挖掘 出 有 用 的 信息 ， 即 从 大 量 的、 不 完全 的 、 有 噪声 的 、 
模糊 的 、 随 机 的 实际 应 用 数据 中 发 现 隐 含 的 、 规 律 的 、 事 先 未 知 的 ， 但 又 有 潜在 用 处 的 
并 且 最 终 可 理解 的 信息 和 知识 的 非 平凡 过 程 (Nontrivial Process ) 。 

数据 挖掘 可 分 为 描述 性 挖掘 和 预测 性 掘 。 描 述 性 挖掘 用 于 刻画 数据 库 中 数据 的 一 般 
特性 ; 预测 性 挖掘 是 在 当前 数据 上 进行 推断 ， 并 加 以 预测 。 数 据 挖掘 方法 主要 有 关联 分 
析 法 、 序 列 模式 分 析 法 、 分 类 分 析 法 和 聚 类 分 析 法 。 关 联 分 析 法 用 于 挖掘 数 据 之 间 的 联 
系 ; 序列 模式 分 析 法 侧重 于 分 析 数 据 间 的 因果 关系 ; 分 类 分 析 法 通过 对 预先 定义 好 的 类 
别 建立 分 析 模 型 ， 对 数据 进行 分 类 ， 常 用 的 模型 有 决策 树 模 型 、 贝 叶 斯 分 类 模型 、 神 经 
网 络 模型 等 ， 聚 类 分 析 不 依赖 预先 定义 好 的 类 别 ， 它 的 划分 是 未 知 的 ， 常 用 的 方法 有 模 
糊 聚 类 法 、 动 态 聚 类 法 、 基 于 密度 的 方法 等 。 


21.1.5 可 视 化 技术 


网 络 安全 态势 生成 是 依据 大 量 数据 的 分 析 结 果 来 显示 当前 状态 和 未 来 趋势 ， 而 通过 
传统 的 文本 或 简单 图 形 表 示 ， 使 得 寻找 有 用 旦 关键 的 信息 非常 困难 。 可 视 化 技术 是 利用 
计算 机 图 形 学 和 图 像 处 理 技 术 ， 将 数据 转换 成 图 形 或 图 像 在 屏幕 上 显示 出 来 ， 并 进行 交 
互 处 理 的 理论 、 方 法 和 技术 。 它 涉及 计算 机 图 形 学 、 图 像 处 理 、 计 算 机 视觉 、 计 算 机 辅 
助 设计 等 多 个 领域 。 目 前 已 有 很 多 研究 将 可 视 化 技术 和 可 视 化 工具 应 用 于 态势 感知 领 
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域 ， 在 网 络 安全 态势 感知 的 每 一 个 阶段 都 充分 利用 可 视 化 方法 ， 将 网 络 安全 态势 合并 为 
连贯 的 网 络 安全 态势 图 ， 快 速 发 现 网 络 安全 威胁 ， 直 观 把 握 网 络 安全 状况 。 


21.2 系统 安全 态势 感知 技术 


安全 态势 感知 就 是 综合 各 方面 的 安全 因素 ， 从 整体 上 动态 反映 网 络 安全 状况 ， 并 对 
安全 的 发 展 趋 势 进行 预测 和 预警 。 安 全 态势 感知 在 信息 安全 领域 随 着 APT 检测 的 需求 
而 流行 ， 但 其 本 质 并 不 是 新 概念 ， 属 于 信息 安全 技术 里 面 的 攻击 探测 技术 。 

在 信息 安全 的 早期 ， 由 于 综合 性 的 攻击 探测 要 求 比较 高 ， 单 一 性 的 探测 技术 和 设备 
如 IDS 设备 、 防 病毒 系统 等 ， 成 为 实际 业务 中 应 用 的 主流 。 随 着 计算 机 和 通信 技术 的 迅 
速 发 展 ， 计 算 机 网 络 的 应 用 越 来 越 广泛 ， 其 规模 越 来 越 庞 大 ， 多 层面 的 网 络 安全 威胁 和 
安全 风险 也 在 不 断 增 加 ， 网 络 攻击 构成 的 威胁 和 损失 也 越 来 越 大 ， 网 络 攻击 行为 向 着 分 
布 化 、 规 模 化 、 复 杂 化 等 趋势 发 展 ， 仅 仅 依 靠 防 火 墙 、 和 人 侵 检测 、 防 病毒 、 访 问 控制 等 
单一 的 网 络 安全 防护 技术 ， 已 不 能 满足 网 络 安全 的 需求 ， 人 迫切 需要 综合 的 技术 ， 才 有 可 
能 及 时 发 现 网 络 中 的 异常 事件 ， 掌 握 网 络 安全 状况 ， 降 低 网 络 安全 风险 ， 提 高 网 络 安全 
防护 能 力 ， 安 全 态势 感知 就 应 运 而 生 。 

实际 工作 中 ， 导 致 安全 态势 感知 技术 在 银行 开始 使 用 有 两 个 关键 因素 : 一 是 不 断 常 
态 化 的 APT (高 级 持续 威胁 ) 攻击 ， 已 经 实 实 在 在 地 展现 上 述 单一 安全 防护 措施 的 无 
能 为 力 ， 综 合 防护 的 安全 态势 感知 已 经 成 为 切实 的 需求 ， 二 是 长 期 导致 综合 感知 难以 应 
用 的 技术 屏障 是 海量 数据 ， 随 着 大 数据 技术 的 综合 发 展 ， 有 了 质 的 突破 。 海 量 存储 、 并 
行 计算 、 高 效 查 询 等 技术 均 已 成 熟 ， 为 大 规模 网 络 安全 态势 感知 技术 的 突破 创造 条 件 。 

当前 的 安全 态势 感知 技术 实质 就 是 借 大 数 
据 分 析 ， 对 成 千 上 万 的 网 络 日 志 等 信息 进行 自 
动 分 析 处 理 与 深度 挖 气 ， 从 而 感知 网 络 中 的 异 态势 预测 
常事 件 与 整体 安全 态势 。 

态势 感知 的 核心 部 分 可 以 理解 为 一 个 渐进 
明晰 的 过 程 ， 其 三 级 模型 如 图 21-2 所 示 。 

态势 感知 首先 是 态势 要 素 获 取 ， 抓 取 必 要 人 
的 数据 ; 然后 通过 数据 分 析 进 行 态势 理解 ， 进 而 实现 对 未 来 短期 时 间 内 的 态势 预测 。 态 
势 感知 的 初步 目标 是 态势 的 理解 ， 为 下 一 步 决策 提供 支撑 ,最 终 目 标 是 实现 对 未 来 的 短 
期 预测 ， 为 前 脆性 的 决策 提供 支撑 。 

安全 态势 感知 的 核心 部 分 就 是 网 络 安 全 态势 感知 。 而 要 感知 网 络 安全 态势 ， 首 先 要 
感知 网 络 态势 。 所 谓 网 络 态势 是 指 由 各 种 网 络 设备 运行 状态 ， 以 及 在 网 络 中 传输 数据 等 
蕴含 的 网 络 行为 或 者 用 户 行为 等 因素 构成 网 络 的 当前 状态 和 趋势 变化 。 

网 络 态势 感知 (Cyberspace Situation Awareness，CSA) 是 1999 年 Tim Bass 首次 提 
出 的 ， 是 在 大 规模 的 网 络 环境 中 ， 对 能 够 引起 网 络 态势 发 生变 化 的 安全 要 素 进行 获取 、 
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理解 、 显 示 ， 以 及 预测 最 近 的 发 展 趋势 。 

态势 是 一 种 状态 、 一 种 趋势 ， 是 整个 和 全 局 的 概念 ， 任 何 单一 的 情况 或 状态 都 不 能 
称 之 为 态势 。 因 此 对 态势 的 理解 特别 强调 环境 性 、 动 态 性 、 整 体 性 。 环 境 性 是 指 态 势 感 
知 的 应 用 环境 是 在 一 个 较 大 的 范围 内 具有 一 定 规模 的 网 络 ; 动态 性 是 态势 随时 间 不 断 变 
化 ， 态 势 信息 不 仅 包括 过 去 和 当前 的 状态 ， 还 要 对 未 来 的 趋势 做 出 预测 ， 整体 行 是 态势 
各 实体 间 相 互 关系 的 体现 的 状态 ， 进 而 影响 整个 网 络 的 态势 。 

网 络 安全 态势 感知 就 是 利用 数据 融合 、 数 据 挖 气 、 智 能 分 析 和 可 视 化 等 技术 ， 直 观 
显示 网 络 环 境 的 实时 安全 状况 ， 为 网 络 安全 提供 保障 。 借 助 网 络 安全 态势 感知 ， 网 络 监 
管 人 员 可 以 及 时 了 解 网 络 的 状态 、 受 攻击 和 情况、 攻击 来 源 及 哪些 服务 易 受 到 攻击 等 情 
况 ; 应 急 响 应 组 织 可 以 从 网 络 安全 态势 中 了 解 所 服务 网 络 的 安全 状况 和 发 展 趋势 ， 为 制 
定 有 预见 性 的 应 急 预 案 提 供 基础 。 

网 络 安全 态势 感知 的 主要 关注 点 有 风险 感知 和 事件 感知 两 个 方面 。 风 险 感 知 包括 网 
络 资产 感知 和 网 络 脆弱 性 感知 ， 网 络 资产 感知 是 指 自动 、 快 速 发 现 和 收集 大 规模 网 络 资 
产 的 分 布 情况 、 更 新 情况 、 属 性 等 信息 ; 网 络 脆弱 性 感知 是 分 析 、 发 现 网 络 的 脆弱 性 
对 脆弱 性 进行 统一 标识 和 管理 ， 网 络 脆弱 性 包括 不 可 见 脆弱 性 和 可 见 脆弱 性 。 事件 感知 
ed ed 常 行为 感知 ， 安 全 事件 感知 是 指 能 够 确定 安全 事件 发 生 的 时 
间 、 地 点 、 起 因 、 经 过 和 结果 ; 异常 行为 感知 是 指 通 过 异常 行为 判定 风险 ， 以 弥补 对 不 
可 见 脆弱 性 、 未 知 安全 事件 发 现 的 不 足 主要 面向 的 是 感知 未 知 的 攻击 。 


21.3 系统 安全 运营 的 内 容 与 流程 


21.3.1 安全 运营 的 内 容 


安全 运营 的 主要 内 容 有 以 下 几 个 方面 : 

1) 数据 采集 。 完 成 安全 域内 和 域 间 的 流量 数据 采集 ， 以 及 相关 网 络 设 备 、 安 全 设 
备 的 日 志 采 集 。 

2) 数据 处 理 和 安全 态势 感知 。 

3) 依托 安全 态势 感知 平台 对 采集 的 数据 进行 分 析 、 挖 扎 ， 利 用 各 种 综合 技术 ， 
现 对 安全 态势 的 感知 与 预测 。 

4) 安全 事件 的 监控 和 预警 。 

5) 根据 安全 事件 的 管理 要 求 ， 监 控 安 全 事件 ， 并 及 时 预警 。 

6) 安全 事件 的 响应 与 处 理 。 

7) 根据 应 急 响 应 的 要 求 和 规范 ， 相 应 安全 事件 ， 及 时 处 置 ， 事 后 分 析 总 结 ， 完 整 
地 处 理 安全 事件 。 
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21.3.2 安全 运营 流程 


在 安全 运营 过 程 中 ， 基 于 “PDCA” 循 环 理论 ， 绪 合 安全 运营 的 四 大 内 容 ， 完 整 的 
ol 理 体 系 ， 以 实现 安全 风险 事件 的 全 生命 周期 管理 ， 具 体 的 安全 运营 流程 ， 见 
图 2 


2 全 事件 日 报 、 周 报 ) 
安全 事件 
,站 全 事件 有 效 性 验证 
2 关联 规则 持续 优化 > 


高 风险 事件 原因 调查 
生成 事件 处 理工 单 
> 跟 院 事件 处 理 》 


21-3 ”安全 运营 流程 


吏 
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第 22 全 
灾难 备份 与 恢复 技术 


灾难 备份 是 为 了 灾难 恢复 而 对 数据 、 数 据 处 理 系统 、 网 络 系 统 、 基 础 设施 、 专 业 技 
术 支 持 能 力 和 运行 管理 能 力 进 行 备份 的 过 程 。 

灾难 恢复 是 为 了 将 信息 系统 从 灾难 造成 的 故障 或 瘫痪 状态 恢复 到 可 正常 运行 状态 、 
并 将 其 支持 的 业务 功能 从 灾难 造成 的 不 正常 状态 恢复 到 可 接受 状态 而 设计 的 活动 和 
流程 。 

衡量 灾 备 系统 的 两 个 重要 指标 是 : 

1) 恢复 时 间 目 标 (Recovery Time Objective，RTO): 灾难 发 生 后 ， 信 息 系统 或 业务 
功能 从 停顿 到 必须 恢复 的 时 间 要 求 。RTO 标志 着 系统 能 够 容忍 的 服务 停止 的 最 长 时 间 。 
系统 服务 的 紧迫 性 要 求 越 高 ，RTO 的 值 越 小 ， 灾 备 能 力 就 越 高 。 

2) 恢复 点 目标 (Recovery Point Objective，RPO ) : 灾难 发 生 后 ， 系 统 和 数据 必须 
恢复 到 的 时 间 点 要 求 。RPO 标志 着 系统 能 够 容忍 的 最 大 数据 丢失 量 。 系 统 容 忍 丢 失 的 
数据 量 越 小 ，RPO 的 值 越 小 。 否 RPO 等 于 0， 相 当 于 没有 任何 数据 丢失 。 和 否则 ， 就 需 
要 进行 业务 回复 处 理 ， 对 丢失 数据 进行 修复 。 

RPO 针对 的 是 数据 丢失 ，RTO 针对 的 是 服务 丢失 ， 两 者 必须 在 进行 风险 分 析 和 业 

影响 分 析 之 后 根据 业务 的 需求 来 确定 ( 表 22-1)。 
表 22-1 灾 备 等 级 要 求 与 灾 备 技术 表 


灾 备 等 级 RTO RPO 可 用 技术 
1 2 天 以 上 1~7 天 基于 磁带 的 备份 
2 24 小 时 以 后 1~7 天 基于 磁带 的 备份 
3 12 小 时 以 上 数 小 时 至 1 天 基于 磁带 的 备份 (或 虚拟 带 库 ) 
基于 存储 复制 诸 交 换 层 复制 或 
4 数 小 时 至 2 天 数 小 时 至 1 天 四  ， 所 0 sa 
5 数 分 至 2 天 0 ~30 分 钟 基于 存储 复制 .存储 交换 层 复制 或 同步 镜像 
6 数 分 钟 0 同步 镜像 + 集群 技术 
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22.1 技术 与 发 展 趋势 


一 般 来 讲 ， 灾 备 系统 可 以 分 为 数据 级 容 灾 、 应 用 级 容 灾 和 业务 级 容 灾 。 

1) 数据 级 容 灾 是 指 通 过 建立 异地 容 灾 中 心 ， 做 数据 的 远程 备份 ， 在 灾难 发 生 之 后 
要 确保 原 有 的 数据 不 会 丢失 或 者 遭 到 破坏 ; 但 在 数据 级 容 灾 这 个 级 别 ， 发 生 灾 难 时 应 用 
是 会 中 断 的 。 在 数据 级 容 灾 方式 下 ， 所 建立 的 异地 容 灾 中 心 可 以 简单 地 理解 成 一 个 远程 
的 数据 备份 中 心 。 数 据 级 容 灾 的 恢复 时 间 比 较 长 ， 但 是 相 比 其 他 容 灾 级 别 来 讲 ， 它 的 费 
用 比较 低 ， 而 且 构 建 实施 也 相对 简单 。 

2) 应 用 级 容 灾 是 在 数据 级 容 灾 的 基础 之 上 ， 在 备份 站 点 同样 构建 一 套 相 同 的 应 用 
系统 ， 通 过 同步 或 异步 复制 技术 ,这 样 可 以 保证 关键 应 用 在 允许 的 时 间 范 围 内 恢复 运 
行 ， 尽 可 能 减少 灾难 带 来 的 损失 ， 证 用 户 基本 感受 不 到 灾难 的 发 生 ， 这 样 就 使 系统 所 提 
供 的 服务 是 完整 的 、 可 靠 的 和 安全 的 。 应 用 级 容 灾 生产 中 心 和 异地 灾 备 中 心 之 间 的 数据 
传输 是 采用 异类 的 广域网 传输 方式 ; 同时 ， 应 用 级 容 灾 系统 需要 通过 更 多 的 软件 来 实 
现 ， 可 以 使 多 种 应 用 在 灾难 发 生 时 进行 快速 切换 ， 确 保 业 务 的 连续 性 。 

3) 业务 级 容 灾 是 全 业务 的 灾 备 ， 除 了 必要 的 信息 技术 相关 技术 ， 还 要 求 具备 全 部 
的 基础 设施 。 其 大 部 分 内 容 是 非 信息 技术 系统 (如 电话 、 办 公 地 点 等 )， 当 大 灾难 发 生 
后 ， 原 有 的 办 公 场 所 都 会 受到 破坏 ， 除 了 数据 和 应 用 的 恢复 ， 更 需要 一 个 备份 的 工作 场 
所 能 够 正常 地 开展 业务 。 

下 面 主要 针对 数据 级 容 灾 进 行 介绍 。 


22.1.1 数据 存储 技术 


数据 存储 备份 就 是 把 数据 从 生产 系统 备份 到 存储 备份 系统 中 的 存储 介质 的 过 程 。 因 
此 ， 存 储 优化 是 提高 灾难 备份 系统 性 能 的 重要 指标 之 一 。 目 前 ， 比 较 通 用 的 技术 有 网 络 
附加 存储 ( Network Attached Storage，NAS) 和 存储 区 域 网 络 (Storage Area Network ， 
SAN ) 。 

1) NAS 是 将 存储 设备 连接 到 现 有 的 网 络 上 ， 提 供 数据 和 文件 服务 。NAS 服务 器 一 
般 由 存储 硬件 、 操 作 系统 及 其 中 的 文件 系统 等 几 个 部 分 组 成 。NAS 实现 简单 ， 建 立方 
便 ， 设 备 不 依赖 于 操作 系统 ， 数 据 的 存储 和 处 理 功 能 分 离 ， 价 格 较 低 。 

2) SAN 是 通过 特定 的 互联 方式 连接 的 若干 台 存 储 服 务 咒 组 成 一 个 单独 的 数据 网 
络 。SAN 的 硬件 基础 设施 是 光纤 通道 ， 由 3 部 分 构成 : 存储 和 备份 设备 (包括 磁盘 阵 
列 和 磁带 库 等 )、 光 纤 通 道 网 络 连接 部 件 (包括 交换 机 、HBA 卡 、 光 费 线 、 人 集线器 、 光 
纤 通 道 与 SCSI 间 的 桥接 器 等 ) 和 应 用 管理 软件 (包括 备份 软件 、 存 储 资源 管理 软件 、 
设备 管理 软件 等 )。SAN 是 一 种 特殊 的 高 速 网 络 ， 连 接 网 络 服务 器 和 诸如 大 磁盘 阵列 或 
备份 磁带 库 的 存储 设备 ，SAN 不 依赖 于 LAN， 人 允许 任何 服务 器 连接 到 任何 存储 阵列 ， 
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可 以 提供 大 容量 的 存储 数据 服务 。 与 NAS 相 比 ，SAN 的 成 本 较 高 。 
22. 1.2 数据 复制 技术 


数据 复制 技术 即 数据 镜像 技术 。 与 数据 存储 技术 相 比 ， 数 据 复制 技术 则 是 通过 不 断 
将 生产 系统 的 数据 复制 到 另外 一 个 不 同 的 备份 系统 中 ， 以 保证 在 灾难 发 生 时 ， 生 产 系 统 
的 数据 丢失 量 最 少 。 

下 面 主要 针对 基于 传统 备份 、 数 据 库 复制 、 存 储 复制 、 存 储 交 换 层 复 制 、 主 机 软件 
复制 技术 进行 详细 介绍 。 除 了 基于 数据 库 的 数据 复制 外 ， 其 他 技术 都 具有 同步 和 异步 两 
种 复制 方式 。 同 步 数据 复制 就 是 将 本 地 生产 系统 的 数据 以 完全 同步 的 方式 复制 到 备份 系 
统 中 。 由 于 发 生 在 生产 系统 的 每 一 次 0 操作 都 需要 等 待 远程 复制 完成 才能 返回 ， 这 种 
复制 方式 虽然 可 能 做 到 数据 的 零 丢 失 ， 但 是 对 系统 性 能 有 很 大 的 影响 。 异 步 数据 复制 则 
是 将 本 地 生产 系统 中 的 数据 在 后 台 以 异步 的 方式 复制 到 备份 系统 中 。 这 种 复制 方式 会 有 
少量 的 数据 丢失 ， 但 是 对 生产 系统 的 性 能 影响 较 小 。 在 灾 备 中 心 的 建设 过 程 中 ， 应 根据 
应 用 需求 和 数据 复制 技术 的 优 缺 点 选择 不 同 的 灾难 备份 策略 。 

1. 传统 备份 的 灾 备 技术 

下 面 以 磁带 备份 灾 备 方案 为 例 ， 介 绍 传统 备份 的 灾 备 技术 (图 22-1)。 


备份 服务 器 


@3 


将 磁带 运送 至 灾 备 中 心 


图 22-1 磁带 备份 灾 备 方案 


(1) 方案 简 述 利用 传统 备份 技术 ,在 生产 中 心 搭建 本 地 备份 系统 ， 通 过 备份 服 
务 器 ， 设 定 备份 策略 ， 依 据 备份 策略 ， 可 对 所 需 保护 数据 进行 全 备 、 增 量 备份 及 合成 备 
份 等 ， 灾 备 建 设 通 常 将 数据 备份 两 份 ， 一 份 本 地 保存 ， 另 一 份 运送 至 灾 备 中 心 ， 当 发 生 
灾难 时 ， 可 通过 灾 备 中 心 数据 进行 数据 恢复 。 

(2) 增加 设备 及 软件 ”备份 服务 器 、 磁 带 机 、 备 份 软件 。 

(3) 方案 优势 ”传统 备份 技术 的 实现 已 经 被 当前 的 用 户 大 量 应 用 并 被 熟知 ， 传 统 
备份 技术 的 成 熟 度 及 成 本 上 具备 的 优势 ， 可 支持 各 种 平台 及 数据 库 ， 支 持 复 杂 环 境 ， 可 
通过 LAN 或 SAN 网 络 进行 数据 备份 。 
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(4) 方案 缺点 

1) 备份 时 间 长 ， 无 法 实现 实时 灾 备 。 

2) 灾 备 数据 的 有 效 性 检测 复杂 ， 且 数据 格式 在 备份 过 程 中 进行 了 转换 ， 恢 复 时 
间 长 。 

3) 需要 安排 人 员 运送 磁带 至 灾 备 中 心 。 

近 几 年 ， 传 统 备份 技术 有 了 一 定 的 优化 ， 出 现 了 磁盘 到 磁盘 (D2D) 、 磁 盘 到 磁盘 
再 备份 至 磁带 (D2D2T) 及 虚拟 带 库 等 技术 ， 这 几 类 技术 的 出 现 大 大 缩短 了 备份 窗口 
时 间 ， 但 总 体 上 与 其 他 灾 备 技术 相 比 ， 灾 备 的 实时 性 、 恢 复 可 靠 性 和 恢复 时 间 相 对 处 于 
劣势 。 

2. 基于 数据 库 复制 技术 (图 22-2) 


卫 链 路 
LAN LAN 
ke | UY pie ee EE | ee 1 
| | 软件 复制 数据 | 1 
1 1 1 1 
1 1 1 1 
1 1 上 1 
1Oracle Goldengates Oracle Goldengate | | os oles 1 
1 DB2 HA/DR DB2 HA/DR |! | | 
1 | 1 by 1 
2 2 

7 

1 1 
| | ' 
1 > 1 上 1 
1 1 1 1 
| 生产 中 心 1 灾 备 中 心 
1 1 1 1 
1 1 上 1 
1 1 1 1 
1 1 上 1 
1 1 1 1 
1 1 上 1 
1 1 1 1 
1 1 上 1 

1 1 
| 存储 | | 存储 | 
eT 0 了 


图 22-2 ”数据库 复制 示意 图 


(1) 方案 简 述 ”此 类 方案 是 针对 数据 库 应 用 的 灾 备 实现 ， 数 据 同步 模式 是 基于 事 
务 处 理 级 别 。 在 生产 中 心 数 据 库 服务 器 及 灾 备 中 心 数据 库 服务 器 安装 对 应 的 数据 库 复制 
软件 后 ， 生 产 中 心 数据 库 的 每 个 事务 处 理 操作 ， 都 会 在 灾 备 中 心 数据 库 系统 中 重复 执 
行 ， 也 就 是 通常 大 家 所 说 的 SQL 写 操作 日 志 的 重复 。 数 据 库 复 制 软件 通过 解析 源 数据 
库 在 线 日 志 或 归档 日 志 获 得 数据 的 增删 改变 化 ， 将 这 些 变化 应 用 到 目标 数据 库 ， 实 现 源 
数据 库 与 目标 数据 库 同 步 、 双 活 。 生 产 中 心 与 灾 备 中 心 的 数据 复制 链 路 采用 IP 或 专线 
进行 数据 传输 。 

(2) 增加 设备 

1) 生产 中 心 : 为 服务 器 安装 数据 库 复 制 软件 ， 配 置 与 灾 备 中 心 的 IP 或 专线 连接 。 

2) 灾 备 中 心 : 配置 与 生产 中 心 相同 的 操作 系统 及 满足 处 理 能 力 要 求 的 服务 器 ， 并 
安装 数据 库 复 制 软件 ， 配 置 满足 存储 能 力 要 求 的 磁盘 阵列 设备 。 

(3) 方案 优点 

1) IP 网 作为 复制 链 路 ， 成 本 低 。 
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2) 支持 异 构 存 储 。 

3) 可 保证 两 端 数据 库 的 事务 一 致 性 。 

(4) 方案 缺点 

1) 复制 软件 需要 生产 中 心 及 灾 备 中 心 的 数据 库 版 本 必须 一 致 ， 软 件 扩展 的 难度 
高 、 维 护 和 恢复 难度 高 ， 实 施工 作 量 也 相对 较 高 ， 需 要 由 精通 数据 库 的 专业 人 员 实 施 及 
维 。 
2) 无 法 实现 数据 库 数据 统一 复制 ， 需 要 为 每 一 类 数据 库 配 置 对 应 的 数据 库 复制 
软件 。 

3) 数据 库 灾 备 只 能 保护 数据 库 数据 ， 无 法 保护 其 他 数据 类 型 。 

4) 第 三 方 工具 需要 单独 购买 ， 成 本 较 高 。 

3. 基于 主机 软件 复制 技术 (图 22-3) 


IP 链 路 


fz 


| 


~ 


入 


LAN 


通过 两 端 基 于 


A 1 主机 的 复制 FA 1 
| 1 软件 复制 数据 | | 
1 1 1 1 
1 1 1 | 
1 Veritas VVR * Veritas VVR 、| | i es | 
| Double Take Double Take | | ouble Take | 
ji | 1 » | 
| = SAN = 了 1 | 过 i SAN | 
1 1 1 1 
1 AR ! “3 Co 
1 > 

1 1 1 1 
| 生产 中 心 | ! 灾 备 中 心 
1 攻 | | | 
1 | 1 1 1 
1 1 1 1 
1 1 1 1 
1 1 1 1 
1 | 1 
1 1 

和 存储 ' 
UE eR J LE 全 J 


图 22-3 主机 软件 复制 示意 图 


(1) 方案 简 述 ”为 生产 中 心 及 灾 备 中 心服 务 器 安装 复制 软件 ， 配 置 复 制 策 略 ， 通 
过 TCP/IP 或 专线 网 络 链 路 ， 生 产 中 心 主 机 实时 复制 所 需 保护 卷 或 者 文件 至 灾 备 中 心 主 
机 。 生 产 中 心 与 灾 备 中 心 的 数据 复制 链 路 采用 IP 或 专线 进行 数据 传输 。 

(2) 新 增设 备 

1) 生产 中 心 : 服务 器 安装 主机 复制 软件 ， 配 置 与 灾 备 中 心 的 卫 或 专线 连接 。 

2) 灾 备 中 心 : 配置 与 生产 中 心 相同 的 操作 系统 及 满足 处 理 能 力 要 求 的 服务 器 ， 并 
安装 主机 复制 软件 ， 配 置 满足 存储 能 力 要 求 的 磁盘 阵列 设备 。 

(3) 方案 优点 

1) 独立 于 硬件 的 支持 ， 无 硬件 兼容 性 层面 的 局 限 性 。 

2) 字 节 级 或 数据 块 级 同步 或 异步 的 数据 复制 ， 只 复制 数据 的 变化 量 ， 卫 网 作为 复 
制 链 路 ， 支 持 异 构 存 储 。 

3) 复制 模式 较 灵活 ， 可 复制 数据 库 数据 及 文件 数据 。 
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4) 扩展 性 强 ， 满 足 新 功能 、 新 业务 的 增加 在 原 有 的 系统 平台 上 扩展 和 实现 。 

(4) 方案 缺点 

1) 在 正常 情况 下 ， 占 用 一 部 分 CPU 及 其 他 服务 器 的 资源 。 

2) 对 现 有 系统 改动 较 大 。 生 产 中 心 业 务 数据 需 进行 数据 迁移 及 备份 ， 生 产 中 心 应 
用 系统 需 改造 成 为 Veritas 文件 系统 ， 灾 备 中 心 应 用 系统 也 要 配置 成 为 Veritas 文件 系统 ， 
才能 使 用 VVR (VERITAS Volume Replicator) 进行 远程 容 灾 ; 生产 中 心 的 业务 数据 还 需 
迁移 回去 。 因 此 实施 工作 量 相对 较 大 ， 实 施 难度 相对 较 高 。 

3) 在 服务 器 数量 较 多 的 环境 下 ， 管 理 程度 复杂 ， 整 体 投入 成 本 较 大 。 

4) 只 适用 于 新 建生 产 中 心 的 业务 系统 。 

4. 基于 存储 交换 层 复制 技术 (图 22-4) 


LAN LAN 
| | 本 | 陡 
| 1 | 1 
1 1 | 1 
| 1 | | 
1 1 1 1 
| 1 | | | 
' 生产 中 心 ,光纤 过 1 灾 备 中 心 
1 | 
| 过 < SAN = » | | 去 = SAN > ' 
ss A | 
| 
' 要 三 1 设 和 惠 数 | - 
1 2 mn 二 1 | 1 1 
= 所 ' ' 过 I 
' 存储 人 存储 交换 
| 村 设备 1 。 存 从 
| | ! 设备 存储 |! 
上 1 1 1 
| | 和 


图 22-4 存储 交换 层 复制 示意 图 


(1) 方案 简 述 ”生产 中 心 及 灾 备 中 心 各 新 增 一 套 存储 交换 设备 至 SAN 存储 网 络 ， 
生产 中 心 存储 交换 设备 将 捕捉 经 过 SAN 交换 机 的 数据 ， 复 制 至 灾 备 中 心 存 储 交换 设备 。 

此 类 技术 主要 是 基于 存储 网 络 的 虚拟 化 技术 实现 灾 备 ， 能 打破 灾 备 建设 中 存储 阵列 
的 类 型 和 品牌 限制 ， 能 进行 多 个 存储 阵列 环境 下 的 统一 灾 备 。 

利用 生产 中 心 和 灾 备 中 心 存储 交换 设备 的 复制 功能 ， 就 可 以 在 灾 备 中 心 获得 生产 中 
心 完 整 的 各 时 间 点 数据 ， 同 时 ， 生 产 中 心 拥有 的 任何 恢复 功能 在 异地 的 灾 备 中 心 同样 
具备 。 

生产 中 心 与 灾 备 中 心 的 数据 复制 链 路 采用 光纤 或 专线 进行 数据 传输 。 

(2) 新 增设 备 

1) 生产 中 心 : 新 增 一 套 存储 交换 设备 ， 配 置 与 灾 备 中 心 的 光纤 或 专线 连接 。 

2) 灾 备 中 心 : 新 增 一 套 存储 交换 设备 。 

(3) 方案 优点 

1) 支持 异 构 存 储 ， 能 进行 多 个 存储 设备 的 统一 灾 备 ， 降 低 灾 备 运 维 复杂 度 。 

2) 数据 一 致 性 好 。 
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3) 可 以 防范 逻辑 灾难 。 

4) 易于 实施 和 维护 。 

(4) 方案 缺点 ， 对 生产 系统 性 能 有 一 定 影响 。 
5. 基于 存储 复制 技术 (图 22-5) 


| 1 
| 1 
| 1 
! | 
生产 中 心 | 光纤 连接 | 

中 1 
中 = SAN = > = SAN 1 
| 一 一 1 ! 人 Ts) | 
| 1 
| 通过 两 端 存储 | | 
| 设备 复制 数据 | | 
| | | 1 
| 1 1 | 
1 | 1 1 
1 1 1 | 
存储 | 存储 | 
| :0 | 


图 22-5 存储 复制 示意 图 


(1) 方案 简 述 ”通过 存储 控制 器 实现 的 设备 级 数据 远程 镜像 或 复制 ， 是 传统 灾 备 


方式 中 最 高 效 最 可 靠 的 方式 。 


基于 存储 复制 技术 的 关键 是 实现 盘 阵 之 间 的 直接 镜像 ， 通 过 存储 系统 内 建 的 固件 


(Firmware) 或 操作 系统 ， 利 用 DWDM、 光纤 通道 等 传输 界面 连接 ， 将 数据 以 同步 或 异 
步 的 方式 复制 到 远 端 。 基 于 存储 复制 技术 将 数据 与 应 用 系统 分 开 ， 对 主机 系统 的 运行 资 
源 影响 比较 小 。 另 外 ， 由 于 运行 机 制 大 多 是 利用 镜像 来 复制 数据 ， 并 借助 高 速 缓冲 存储 
器 加 速 WO 存 取 ， 两 端的 数据 差异 时 间 点 比较 小 ， 加 上 存储 系统 本 身 具备 一 定 的 容错 能 


力 ， 


使 之 具有 较 高 的 运行 性 能 和 可 靠 性 。 

生产 中 心 与 灾 备 中 心 的 数据 复制 链 路 采用 光纤 或 专线 进行 数据 传输 。 
(2) 新 增设 备 

1) 生产 中 心 : 存储 设备 配置 远程 复制 软件 ， 配 置 与 灾 备 中 心 的 光纤 或 专线 连接 。 
2) 灾 备 中 心 : 配置 一 套 与 生产 中 心 相 同 的 具备 远程 复制 功能 的 存储 设备 。 

(3) 方案 优势 

1) 对 应 用 透明 ， 可 以 实现 所 有 应 用 的 灾 备 ， 支 持 所 有 的 数据 类 型 ， 是 最 全 面 的 灾 


备 保 护 模式 。 


2) 基于 专 有 的 硬件 来 进行 数据 同步 ， 灾 备 的 性 能 有 保障 ， 无 须 占 用 主机 资源 。 

3) 技术 成 熟 ， 应 用 广泛 ， 运 行 维护 容易 。 

(4) 方案 缺点 

1) 需要 对 生产 系统 进行 存储 整合 ， 涉 及 系统 架构 调整 。 

2) 兼容 性 较 差 ， 不 能 跨越 品牌 ， 只 能 在 相同 的 产品 甚至 是 相同 的 型 号 之 间 实 现 
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灾 备 。 
3) 设备 成 本 投入 相对 较 高 ， 网 络 带宽 要 求 较 高 。 
6. 技术 对 比 
以 上 介绍 的 4 种 复制 技术 的 对 比 列表 ， 见 表 22-2。 
表 22-2 技术 对 比 列表 
复制 技术 | 网 本 or 
i 基于 数据 库 复制 技术 | 基于 主机 软件 复制 技术 此 于 存储 交换 层 复制 技术 | 基于 存储 复制 技术 
总 体 投资 规模 中 低 中 中 低 高 
有 <100km( 同步 ) i <100km( 异步 ) 
理想 距离 < 1000k <1000km( 异 步 ) 无 距离 限制 无 带宽 距离 限制 
数据 集中 存储 要 求 不 要 求 不 要 求 要 求 要 求 
实施 难度 让 中 低 中 
适应 范围 和 “| 网络 袍 宽 要 求 较 低 高 网 络 带 袖 专用 存储 连接 链 路 
络 带宽 要 求 一 般 ”| “ 川 仓 储 连 | 
约束 条 件 简单 应 用 环境 特定 的 文件 系统 格式 | 网络 带宽 要 求 “ 般 |。 高端 存储 设备 
技术 成 熟 度 一 役 成 训 成 训 成 训 
对 系统 性 能 的 影响 让 让 让 丰 
运行 维护 的 要 求 较 高 让 小 低 
同步 :0 同步 :0 同步 0 
ee 
RPO 昌 站 全 2 各 名 约 异步 ;分钟 级 异步: 分 钟 级 异步 ;分 钟 级 


22.1.3 技术 发 展 趋 势 


在 当前 情况 下 ， 技 术 也 呈现 不 断 发 展 的 态势 ， 体 现在 以 下 几 方 面 。 
1. 存储 虚拟 化 (Storage Virtualization ) 技术 
通过 虚拟 化 技术 ， 用 户 可 以 利用 已 有 的 硬件 资源 ， 把 SAN 内 部 的 各 种 异 构 的 存储 
资源 统一 成 对 用 户 来 说 是 单一 视图 的 存储 池 (Storage Pool) ， 方 便 用 户 可 以 根据 自己 的 
需求 对 这 个 大 的 存储 池 进 行 分 割 、 分 配 。 男 外 也 可 以 根据 业务 的 需要 ， 实 现存 储 池 对 服 
务 器 的 动态 而 透明 的 增长 与 缩减 。 

通过 存储 虚拟 化 技术 可 实现 数据 的 远程 复制 ， 以 确保 灾 备 中 心 与 生产 中 心 的 数据 保 
持 同 步 以 实现 数据 容 灾 。 存 储 虚 拟 化 技术 可 以 在 不 同 层面 实现 ， 如 智能 交换 机 层面 、 存 
储 层面 或 增加 第 三 方 设备 层面 。 采 用 虚拟 存储 技术 进行 数据 复制 同样 也 可 以 有 同步 复制 
方案 和 异步 复制 方案 ,需要 根据 具体 的 需求 选择 合适 的 产品 。 

2. 重复 数据 删除 技术 

该 技术 通过 寻找 不 同 数据 块 中 的 元 余数 据 并 删除 这 些 重 复 的 数据 来 对 数据 进行 压缩 。 
某 些 重复 数据 压缩 技术 甚至 实现 了 20:1 的 压缩 比 。 通 过 重复 数据 删除 技术 不 但 能 解决 单 
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数据 中 心中 多 副本 占用 空间 的 问题 ， 还 可 以 减少 传输 备份 数据 所 需要 的 带宽 。 重 复数 据 删 
除 技术 主要 分 为 基于 软件 的 重复 数据 删除 和 基于 硬件 的 重复 数据 删除 两 种 方式 。 

3. 持续 数据 保护 (CDP) 技术 

CDP 是 一 种 在 不 影响 主要 数据 运行 的 前 提 下 ， 实 现 持续 捕捉 或 跟踪 目标 数据 所 发 
生 的 任何 变化 ， 并 且 能 够 恢复 到 此 前 任意 时 间 点 的 方法 。CDP 系统 能 够 提供 块 级 、 文 
件 级 和 应 用 级 的 备份 ， 以 及 恢复 目标 的 无 限 的 任意 可 变 的 恢复 点 。 


22.2 灾难 备份 系统 技术 方案 的 实现 


22.2.1 技术 方案 的 设计 


根据 灾难 恢复 策略 制定 相应 的 灾难 备份 系统 技术 方案 ， 包 含 数据 备份 系统 、 备 用 数 
据 处 理 系 统 和 备用 的 网 络 系统 。 技 术 方 案 中 所 设计 的 系统 ， 应 获得 同 主 系统 相当 的 安全 
保护 ， 具 有 可 扩展 性 ， 考 虑 其 对 主 系统 可 用 性 和 性 能 的 影响 。 


22.2.2 技术 方案 的 验证 、 确 认 和 系统 开发 


为 确保 技术 方案 满足 灾难 恢复 策略 的 要 求 ， 应 由 组 织 的 相关 部 门 对 技术 方案 进行 确 
认 和 验证 ， 并 记录 和 保存 验证 及 确认 的 结果 。 按 照 确认 的 灾难 备份 系统 技术 方案 进行 开 
发 ,实现 所 要 求 的 数据 备份 系统 、 备 用 数据 人 处理 系统 和 备用 网 络 系统 。 


22. 2.3 系统 安装 和 测试 


按照 经 过 确认 的 技术 方案 ， 灾 难 恢复 规划 实施 组 应 制订 各 阶段 的 系统 安装 及 测试 计 
划 ， 以 及 支持 不 同 关 键 业 务 功能 的 系统 安装 及 测试 计划 ， 并 组 织 最 终 用 户 共同 进行 测 
试 。 确 认 以 下 各 项 功能 可 正确 实现 : 

1) 数据 备份 及 数据 恢复 功能 。 

2) 在 限定 的 时 间 内 ， 利 用 备份 数据 正确 恢复 系统 、 应 用 软件 及 各 类 数据 ， 并 可 正 
确 恢复 各 项 关键 业务 功能 。 

3) 客户 端 可 与 备用 数据 处 理 系 统 正常 通信 功能 。 


22.3 灾难 恢复 策略 的 制定 


数据 备份 策略 ( Data Backup Strategy) 是 为 了 达到 数据 恢复 和 重建 目标 所 确定 的 备 
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份 步骤 和 行为 。 通 过 确定 备份 时 间 、 技 术 、 介 质 和 场 外 存放 方式 ， 以 保证 达到 恢复 时 间 
目标 和 恢复 点 目标 。 
灾难 恢复 策略 主要 包括 灾难 恢复 资源 的 获取 方式 、 灾 难 恢复 资源 各 要 素 的 具体 要 求 。 


22. 3.1 灾难 恢复 资源 的 获取 方式 


1. 数据 备份 系统 

数据 备份 系统 可 由 组 织 自行 建设 ， 也 可 通过 租用 其 他 机 构 的 系统 而 获取 。 

2. 备用 数据 处 理 系 统 

可 选用 以 下 方式 来 获取 备用 数据 处 理 系统 : 

1) 事先 与 厂商 签订 紧急 供 货 协 议 。 

2) 事先 购买 所 需 的 数据 处 理 设备 并 存放 在 灾难 备份 中 心 或 安全 的 设备 仓库 。 

3) 利用 商业 化 灾难 备份 中 心 或 签 有 互惠 协议 的 机 构 已 有 的 兼容 设备 。 

3. 备用 网 络 系统 

备用 网 络 通信 设备 可 通过 上 述 的 方式 获取 ; 备用 数据 通信 线路 可 使 用 自 有 数据 通信 
线路 或 租用 公用 数据 通信 线路 。 

4. 备用 基础 设施 

可 选用 以 下 3 种 方式 获取 备用 基础 设施 

1) 由 组 织 所 有 或 运行 。 

2) 多 方 共 建 或 通过 互惠 协议 获取 。 

3) 租用 商业 化 灾难 备份 中 心 的 基础 设施 。 

S， 专业 技术 支持 能 

可 选用 以 下 几 种 方式 获取 专业 技术 支持 能 力 : 

1) 灾难 备份 中 心 设置 专职 技术 支持 人 员 。 

2) 与 厂商 签订 技术 支持 或 服务 合同 。 

3) 由 主 中 心 技术 支持 人 员 兼 任 。 

4) 但 对 于 RTO 较 短 的 关键 业务 功能 ， 应 考虑 到 灾难 发 生 时 交通 和 通信 的 不 正常 ， 
造成 技术 支持 人 员 无 法 提供 有 效 支持 的 情况 。 

6. 运行 维护 管理 能 

可 选用 以 下 对 灾难 备份 中 心 的 运行 维护 管理 模式 : 

1) 自行 运行 和 维护 。 

2) 委托 其 他 机 构 运 行 和 维护 。 

7. 灾难 恢复 预案 

可 选用 以 下 方式 完成 灾难 恢复 预案 的 制订 、 落 实 和 管理 : 

1) 由 组 织 独立 完成 。 
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2) 聘请 具有 相应 资质 的 外 部 专家 指导 完成 。 
3) 委托 具有 相应 资质 的 外 部 机 构 完成 。 


22.3.2 ”灾难 恢复 资源 的 要 求 


1. 数据 备份 系统 

组 织 应 根据 灾难 恢复 目标 ， 按 照 成 本 风险 平衡 原则 ， 确 定数 据 备份 的 范围 、 数 据 备 
份 的 时 间 间 隔 、 数 据 备份 的 技术 及 介质 、 数 据 备份 线路 的 速率 及 相关 通信 设备 的 规格 和 
要 求 。 

2. 备用 数据 处 理 系统 

组 织 应 根据 关键 业务 功能 的 灾难 恢复 对 备用 数据 处 理 系统 的 要 求 和 未 来 发 展 的 需 
要 ， 按 照 成 本 风险 平衡 原则 ， 确 定 备用 数据 处 理 系 统 的 数据 处 理 能 力 、 与 主 系统 的 兼容 
性 要 求 、 平 时 处 于 就 绪 还 是 运行 状态 。 

3. 备用 网 络 系统 

组 织 应 根据 关键 业务 功能 的 灾难 恢复 对 网 络 容量 及 切换 时 间 的 要 求 和 未 来 发 展 的 需 
要 ， 按 照 成 本 风险 平衡 原则 ， 选 择 备用 数据 通信 的 技术 和 线路 带宽 ， 确 定 网 络 通信 设备 
的 功能 和 容量 ， 保 证 灾难 恢复 时 ， 最 终 用 户 能 以 一 定 速率 连接 到 备用 数据 处 理 系统 。 

4. 备用 基础 设施 

组 织 应 根据 灾难 恢复 目标 ， 按 照 成 本 风险 平衡 原则 ， 确 定 对 备用 基础 设施 的 要 求 ， 
包括 与 主 中 心 的 距离 要 求 、 场 地 和 环境 (如 面积 、 温 度 、 湿 度 、 防 火 、 电 力 和 工作 时 
间 等 ) 要 求 、 运 行 维护 和 管理 要 求 。 

5. 专业 技术 支持 能 

组 织 应 根据 灾难 恢复 目标 ， 按 照 成 本 风险 平衡 原则 ， 确 定 灾难 备份 中 心 在 软件 、 硬 
件 和 网 络 等 方面 的 技术 支持 要 求 ， 包 括 技术 文 持 的 组 织 架 构 、 各 类 技术 支持 人 员 的 数量 
和 素质 等 要 求 。 

6. 运行 维护 管理 能 

组 织 应 根据 灾难 恢复 目标 ， 按 照 成 本 风险 平衡 原则 ， 确 定 灾难 备份 中 心 运行 维护 管 
理 要 求 ， 包 括 运行 维护 管理 组 织 架 构 、 人 员 的 数量 和 素质 、 运 行 维护 管理 制度 等 要 求 。 

7. 灾难 恢复 预案 

组 织 应 根据 需求 分 析 的 结果 ， 按 照 成 本 风险 平衡 原则 ， 明 确 灾难 恢复 预案 的 整体 要 
求 ， 制 订 过 程 的 要 求 ， 教 育 、 培 训 和 演练 要 求 ， 以 及 管理 要 求 。 
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第 23 草 
银行 信息 安全 风险 管理 实践 与 案例 


23.1 某 股份 制 商业 银行 安保 平台 建设 实例 


23.1.1 安保 平台 建设 背景 


随 着 我 国 金融 环境 和 信息 化 技术 应 用 的 快速 发 展 ， 国 内 银行 综合 业务 系统 的 发 展 由 
手工 操作 的 电 算 化 登记 短 概 念 的 单机 版 时 代 ， 快 速 步 人 了 以 数据 集中 、 面 向 交易 为 特点 
的 综合 业务 系统 时 代 。 在 银行 新 综合 业务 系统 进入 数据 大 集中 阶段 后 ， 各 家 银行 更 加 强 
调 以 客户 为 中 心 ， 在 行内 统一 客户 视图 ， 满 足 客 户 个 性 化 的 金融 服务 需求 。 为 此 ， 茶 股 
份 制 商业 银行 〈 以 下 简称 C 行 ) 在 其 新 综合 业务 系统 就 采用 了 一 套 全 新 的 思路 、 理 念 
和 技术 路 线 ， 构 建 切 合 C 行 实际 发 展 需要 的 “流程 银行 ”支撑 系统 ， 实 现 了 业务 流程 
再 造 和 业务 与 技术 模块 化 实施 等 突出 特点 。 

作为 C 行 新 综合 业务 系统 的 业务 和 技术 架构 中 的 重要 支撑 模块 之 一 ， 安 全 服务 保 
障 平台 系统 (简称 安保 平台 ) 应 运 而 生 ， 其 主要 功能 是 为 新 综合 业务 系统 的 所 有 应 用 
模块 提供 综合 密码 安全 服务 和 用 户 认 证 管理 功能 。 与 新 综合 业务 系统 一 样 ， 这 是 一 个 以 
新 的 思路 和 理念 构建 的 安全 功能 模块 。C 行 历 来 重视 信息 安全 工作 ， 受 历史 原因 和 技术 
条 件 的 限制 ， 某 些 应 用 系统 在 建设 之 初 ， 其 用 户 、 密 码 的 安全 管理 几乎 都 是 各 自 为 政 的 
局 面 ， 难 以 站 在 一 个 全 局 的 角度 规划 密码 应 用 安全 的 方方面面 。 造 成 现 有 信息 系统 中 的 
密码 应 用 安全 等 级 和 强度 参差 不 齐 ， 难 以 统一 对 用 户 认 证 与 权限 进行 管理 ， 特 别 是 某 些 
安全 设备 当中 的 敏感 密 钥 信息 还 做 不 到 高 效 和 便捷 的 更 新 ， 存 在 一 定 的 安全 隐患 和 脆弱 
点 ， 并 对 整个 应 用 系统 的 安全 运行 管理 造成 极 大 的 不 便 。 

在 这 样 的 建设 背景 和 实现 情况 下 ，C 行 谋求 在 密码 和 用 户 认证 应 用 安全 上 ， 建 立 一 
个 统一 的 安全 服务 保障 平台 ， 其 建设 需求 及 实现 目标 如 下 : 
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1) 从 C 行 信息 科技 的 全 局 视角 和 高 度 出 发 ,通盘 考虑 用 户 认证 及 密码 应 用 安全 风 
险 ， 将 各 种 业务 应 用 系统 的 安全 等 级 和 强度 提 到 相同 的 高 度 ， 以 满足 业务 应 用 和 安全 审 
计 的 需要 。 即 通过 建立 统一 的 安全 服务 平台 ， 强 化 和 规范 应 用 系统 秘 钥 管理 及 用 户 认证 
安全 措施 ， 向 各 种 应 用 提供 全 面 的 安全 服务 调用 机 制 ， 实 现 多 渠道 、 多 认证 方式 的 应 用 
安全 服务 保障 体系 。 

2) 将 C 行 所 采用 的 各 种 用 户 安全 机 制 进行 分 析 、 整 理 和 归 类 。 这 些 机 制 包括 鉴别 
银行 客户 的 卡 、 折 必 备 的 PIN/ 卡 安全 机 制 (PVVZCVV ) ， 通 过 银行 和 公安 部 鉴别 客户 
身份 的 身份 核查 机 制 ， 处 理 银 行 常 用 票据 所 用 到 的 印鉴 验证 、 支 付 密码 验证 、 汇 票 密 押 
核验 、 一 票 一 密 鉴 定 等 安全 机 制 ， 用 于 银行 柜员 或 员工 吴 份 鉴别 的 指纹 、 令 牌 (US- 
BKey) 、 高 强度 密码 等 安全 机 制 ， 用 于 银行 与 其 他 渠道 或 外 联系 统 (人 行 、 银 联 、 证 
券 、 其 他 第 三 方 机 构 、 网 银 、 电 话 银 行 ) 处 理 相关 业务 的 应 用 密 钥 转换 和 管理 安全 机 
制 ， 为 保证 应 用 安全 处 理 敏 感 数 据 所 用 到 数据 加 解密 、 防 算 改 、 防 抵赖 的 安全 机 制 ， 为 
应 用 系统 统一 进行 用 户 与 权限 管理 的 用 户 标 识 定义 、 权 限定 义 、 角 色 定 义 和 分 配 机 制 
等 。 上 述 这 些 安 全 机 制 ， 经 过 综合 分 析 和 和 集中 处 理 后 ， 以 安全 服务 的 形式 构建 在 安保 平 
台 的 安全 服务 模块 中 。 同 时 ， 依 据 相关 管理 机 构 的 标准 和 规范 ， 并 借鉴 其 他 银行 应 用 安 
全 建设 经 验 ， 构 建 多 个 类 别 的 安全 服务 功能 模块 或 接口 ， 以 可 定制 的 标准 服务 方式 为 各 
种 业务 系统 提供 安全 服务 保障 。 

3) 为 满足 银行 应 用 安全 架构 整体 设计 的 需要 和 行业 安全 标准 及 规范 ， 应 对 平台 所 
涉及 的 特殊 安全 设备 进行 定制 开发 ， 这 些 设备 包括 加 密 机 设备 、 令 牌 设 备 、 加 密 的 密码 
输入 键盘 设备 等 。 

4) 安全 服务 平台 应 是 为 整个 应 用 安全 架构 体系 提供 信任 或 认证 支撑 的 基础 设施 平 
台 。 在 银行 的 综合 业务 系统 应 用 安全 建设 中 ,需要 与 这 些 基础 设施 的 连接 和 相关 应 用 接 
口 的 定制 和 开发 。 这 些 基 础 设施 可 以 采用 标准 的 PKIACA 技术 ， 有 特定 的 应 用 目标 ; 也 
可 以 采用 我 国 自主 知识 产权 并 得 到 国家 相关 管理 部 门 批准 的 标识 认证 技术 ， 如 CPK 认 
证 技术 。 除 了 上 述 基 础 设施 外 ，C 行 还 要 扩充 多 种 认证 手段 ， 并 使 用 多 种 认证 协议 ， 如 
LDAPADB、REDIUS、Active Directory 、 短 信 OTP、TOKEN OTP、1IC 卡 等 。 

5) 除了 上 述 因素 外 ， 为 保证 安全 服务 正常 的 服务 功能 ， 还 需要 对 安全 服务 的 关键 
要 素 进行 有 效 的 配置 和 管理 。 这 些 关键 要 素 主 要 包括 安全 设备 管理 及 相关 密 钥 管 理 。 在 
银行 的 现 有 系统 中 ， 安 全 设备 及 相关 密 钥 的 管理 ， 还 显得 比较 分 散 和 读 乱 ， 各 应 用 业务 
系统 之 间 的 安全 设备 几乎 没有 什么 关联 关系 ， 设 备 信息 都 是 一 些 相 对 独立 的 信息 孤岛 ， 
这 就 为 安全 设备 的 统一 管理 和 维护 造成 极 大 的 困难 。 现 有 应 用 系统 的 密 钥 存放 和 管理 也 
相对 零散 ， 而 密 钥 管理 的 安全 强度 也 不 相 统一 ， 有 些 应 用 密 钥 存储 和 交换 的 安全 隐患 还 
相当 明显 。 为 从 系统 结构 上 克服 上 述 局 限 性 ， 需 构建 统一 的 安全 设备 与 密 钥 管理 平台 。 
在 安全 设备 与 密 钥 管理 平台 中 ， 针 对 设备 及 密 钥 的 生命 周期 ， 设 计 严 格 的 管理 流程 和 管 
理 规 范 ， 从 而 实现 对 安全 设备 及 密 钥 较为 规范 的 管理 和 维护 。 整 理 管理 环节 做 到 了 统 
一 、 安 人 全、 有效。 

6) 在 银行 应 用 安全 建设 中 ， 除 了 业务 应 用 系统 可 以 使 用 统一 、 规 范 、 强 度 适 宜 的 
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各 种 安全 服务 以 保证 业务 处 理 的 安全 性 外 ， 还 要 对 使 用 业务 应 用 系统 的 具体 使 用 者 或 操 
作 有 用户、 设备、 程序 等 进行 统一 的 编码 标识 、 定 义 他 们 在 业务 处 理 中 采用 的 鉴别 方式 及 
统一 定义 在 业务 处 理 过 程 中 的 处 理 权限 ， 也 就 通常 意义 上 所 说 的 ID 管理 和 权限 管理 。 
鉴于 此 ， 需 要 构建 统一 的 ID 管理 平台 和 用 户 与 权限 管理 平台 ,以 完成 上 述 使 命 。 在 这 
种 机 制 下 ， 各 个 业务 应 用 系统 的 使 用 者 或 操作 者 的 权限 都 是 通过 此 用 户 与 权限 管理 平台 
统一 定义 的 。 用 户 具体 操作 或 使 用 时 ， 通 过 调用 安保 平台 的 登录 服务 并 获得 相应 的 操作 
权限 ， 业 务 应 用 系统 对 使 用 者 的 权限 进行 检查 和 控制 。 这 样 就 保证 了 在 应 用 系统 的 相关 
权限 变更 时 ， 必 须 通 过 统一 的 用 户 与 权限 管理 平台 ， 而 业务 应 用 系统 本 身 无 法 随意 更 改 
权限 ， 从 而 实现 权限 的 统一 安全 管理 。 

7) 为 了 满足 整个 业务 系统 安全 信息 的 合 规 性 和 可 追溯 性 ， 需 要 建立 统一 的 日 志 统 
一 采集 、 分 析 平 台 。 目 的 是 收集 所 有 应 用 系统 包括 安全 服务 保障 平台 本 身 的 日 志 信息 ， 
统一 存储 ， 并 为 最 终 进行 的 安全 分 析 和 审计 做 好 充足 的 证 据 和 数据 准备 。 


23.1.2 安保 平台 建设 基本 思 


1. 走 平台 化 、 体 系 化 、 系 统 化 的 建设 路 线 

为 强化 安全 服务 及 保障 系统 的 整体 性 、 可 管理 性 等 建设 方面 的 重要 性 ， 安 保平 台 应 
走 平台 化 、 体 系 化 、 系 统 化 的 建设 路 线 。 安 保平 台 的 体系 化 、 系 统 化 建设 表现 在 ， 应 站 
在 整个 企业 的 高 度 ， 围 绕 企 业 的 业务 目标 及 配套 的 信息 资产 风险 管理 机 制 ， 持 续 不 断 地 
对 系统 潜在 的 风险 进行 评估 、 加 固 、 运 维 检 查 ， 并 且 在 整个 系统 的 生命 周期 内 ， 循 环 进 
行 ， 避 免 重复 投入 和 重新 建设 。 同 时 强调 在 循环 过 程 中 的 安全 功能 、 风 险 管 理 机 制 建设 
的 系统 化 咨询 及 对 业务 员工 的 安全 意识 培养 和 教育 。 

2. 尊重 科学 规律 ， 兼 顾 近期 项 目 要求 及 系统 长 远 建设 需求 

安保 平台 项 目 首先 是 一 个 典型 的 安全 项 目 ， 其 具体 实施 要 遵循 标准 的 安全 项 目 实施 
阶段 的 定义 ， 即 了 解 系统 安全 保障 要 求 、 安 全 需求 分 析 、 系 统 安 全 架构 设计 、 系 统 详细 
设计 、 系 统 实施 ， 以 及 贯穿 在 上 述 几 个 阶段 实时 评估 安全 机 制 的 有 效 性 。 其 次 ， 安 保平 
台 项 目 又 是 一 个 服务 于 新 综合 业务 系统 各 个 应 用 ， 乃 至 C 行 信息 网 络 系统 全 局 的 支撑 
系统 ， 项 目 任 务 整 体 建 设 繁重 而 复杂 ， 任 重 而 道 远 ， 特 别 需 要 兼顾 近期 项 目 要求 及 C 
行 信息 系统 全 局 的 长 远 建设 要 求 ， 整 体 策划 、 分 步 实 施 。 

3. 突出 自主 创新 与 企业 特色 

安保 平台 项 目 既 要 依托 于 传统 的 安全 技术 、 软 件 、 硬 件 技术 ， 又 要 不 音 于 发 挥 自主 
创新 意识 ， 使 用 一 些 经 过 项 目 实践 验证 且 尚 未 被 广泛 认 知 的 技术 、 机 制 等 ,体现 出 C 
行 勇于 创新 的 企业 特色 。 比 如 组 合 公 钥 密 码 技术 一 一 CPK 认证 技术 。 

4. 强调 安保 平台 建设 的 标准 化 、 规 范 化 及 合 规 性 

安保 平台 项 目 是 个 服务 于 金融 或 银行 领域 业务 系统 的 基础 支撑 项 目 ， 在 这 个 领域 要 
遵循 国内 外 及 行业 的 安全 技术 及 管理 标准 。 同 时 ， 银 行 新 综合 业务 系统 是 事 关 国计民生 
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的 基础 设施 ， 银 行 的 主管 和 监管 机 构 也 发 布 了 众多 的 管理 办 法 和 指引 ， 所 以 安保 平台 建 
设 的 合 规 性 问题 ， 也 是 要 高 度 重视 并 要 达到 相应 管理 要 求 的 。 
5. 服务 于 业务 应 用 系统 ， 力 争 提供 全 面 的 密码 安全 产品 线 
在 新 综合 业务 系统 的 技术 架构 中 ， 安 保平 台 是 服务 于 各 种 业务 系统 、 应 用 系统 的 综 
合 安全 支撑 平台 。 按 照 这 样 的 设计 思想 ， 安 保平 台 除 了 提供 金融 、 交 易 类 的 安全 产品 
外 ， 还 要 提供 即 能 面向 银行 员工 又 能 面向 银行 客户 的 ID 管理 、 映 份 及 标识 认证 、 授 权 
权限 管理 和 控制 、 安 全 审计 与 风险 控制 等 全 方位 的 安全 产品 线 ， 以 满足 各 种 渠道 、 通 道 
旋 至 后 台 系统 、 运 维 / 运 营 应 用 系统 的 安全 保障 需要 。 
6. 立足 于 风险 管理 和 控制 
鉴于 银行 业 对 信息 科技 系统 的 风险 管理 与 控制 向 来 非常 重视 ,作为 重要 支撑 模块 之 
的 安保 平台 ， 一 方面 对 综合 业务 系统 整体 的 风险 管理 与 控制 提供 充足 的 支撑 与 保障 ， 
另 一 方面 在 自身 的 系统 建设 过 程 ， 也 要 考虑 自身 的 风险 管理 与 控制 机 制 。 


23.1.3 安保 平台 建设 过 程 


1. 项目 主要 阶段 划分 

对 应 C 行 新 综合 业务 系统 项 目 建设 目标 ， 安 保平 台 项 目 可 分 为 以 下 几 个 阶段 ， 而 
在 每 个 阶段 ， 安 保平 台 也 具有 特定 的 工作 重点 。 

1) 安全 保障 需求 了 解 及 应 用 安全 需求 分 析 阶 段 。 

2) 基础 功能 设计 开发 及 安全 设备 定制 阶段 。 

3) 系统 功能 升级 阶段 。 

4) 公私 分 拆 后 的 系统 调整 、 模 拟 演练 及 上 线 准 备 阶段 。 

5) 基础 设施 扩充 及 完善 阶段 。 

2. 项 目 各 阶段 的 工作 重点 

1) 安全 保障 需求 了 解 及 应 用 安全 需求 分 析 阶 段 。 按 照 标准 的 安全 项 目 实施 模型 
(SE-CMM) 的 定义 ， 首 先是 要 完成 挖掘 应 用 系统 敏感 数据 资产 的 保护 要 求 ， 并 进行 术 
心 银行 系统 乃至 安保 平台 的 安全 需求 具体 分 析 。 在 此 阶段 ， 安 保 项 目 组 成 员 对 C 行 老 
系统 中 的 几 十 个 与 安全 密切 的 应 用 ， 包 括 已 有 的 安全 功能 模块 进行 大 规模 的 重新 梳理 工 
作 。 鉴 于 在 项 目的 初始 阶段 ， 安 保 项 目 组 的 公司 成 员 对 银行 的 各 种 业务 了 解 程度 有 限 ， 
因而 在 沟通 与 梳理 工作 方面 花费 了 相当 多 的 精力 ， 也 克服 了 许多 困难 ,最终 梳理 出 来 了 
需要 安保 平台 提供 的 并 服务 于 应 用 系统 的 安全 服务 功能 初步 需求 和 安全 服务 管理 初步 
需求。 

2) 基础 功能 设计 开发 及 安全 设备 定制 阶段 。 在 此 阶段 ， 涉 及 SE-CMM 模型 的 3 个 
阶段 ， 即 安全 架构 设计 、 系 统 详细 设计 和 项 目 实施 阶段 。 基 于 前 面 的 需求 分 析 工 作 ， 并 
依据 C 行 统一 的 流程 、 银 行 综合 业务 系统 的 业务 架构 及 技术 架构 ， 一 个 适合 于 C 行业 
务 系统 的 安全 技术 架构 应 运 而 生 。 依 据 此 架构 ， 项 目 组 完成 针对 安全 基础 功能 的 详细 设 
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计 和 代码 研发 及 相关 的 具体 实施 工作 。 在 安全 技术 架构 中 ,首先 ,应 用 系统 及 其 用 户 是 
安保 平台 的 基本 服务 对 象 ; 其 次 ， 在 架构 中 也 较 充 分 地 体现 了 安全 服务 功能 分 层 摆 放 、 
分 层 提 供 的 特点 ; 再 次 ， 安 全 技术 架构 也 将 安全 功能 涉及 的 基础 支撑 平台 、 基 础 设施 、 
各 种 加 密 安 全 设备 等 统一 纳入 其 中 ， 使 得 安保 平台 系统 更 加 体系 化 、 系 统 化 。 另 外 ， 除 
了 加 强 对 安全 设备 的 统一 管理 外 ， 还 需要 更 新 、 新 增 或 定制 一 些 必 备 的 安全 设备 。 这 些 
设备 ， 一 方面 丰富 了 整个 C 行 的 安全 体系 ， 另 一 方面 ， 也 将 C 行 新 综合 业务 系统 的 安 
全 等 级 提 到 了 一 个 新 的 高 度 。 

在 这 里 谈 到 设备 定制 ， 不 能 不 说 到 加 密 机 ， 特 别 是 柜 面 终端 加 密 机 模块 的 定制 。 因 
为 这 一 方面 充分 体现 C 行 大 胆 创 新 、 敢 为 天 下 先 的 精神 。 所 谓 大 胆 创新 ， 是 指使 用 终 
端 加 密 模块 的 方式 ， 从 而 使 柜 面 系统 的 安全 性 有 了 进一步 的 提升 ;所谓 敢 为 天 下 先 ， 是 
首 大 胆 采 用 了 CPK 密码 技术 ， 从 而 开辟 了 使 用 国产 自主 知识 产权 的 密码 技术 的 先河 ， 
并 得 到 了 密码 主管 部 门 的 认可 。 同 时 ， 整 个 设备 定制 工作 也 通过 了 银行 界 知名 专家 的 技 
术 鉴 定 。 

经 过 这 个 阶段 项 目 组 成 员 的 辛苦 努力 ， 安 保平 台 的 基础 功能 ， 即 设备 与 密 钥 安 全 服 
务 及 管理 系统 、 用 户 与 权限 服务 及 管理 系统 、 各 种 基础 设备 、KMC 密 管 中 心 等 模块 已 
经 就 绪 ， 达 到 了 文 撑 部 分 应 用 系统 上 线 的 预期 目标 。 

3) 系统 功能 升级 阶段 。 风 险 问题 、 系 统 稳定 性 问题 是 项 目 组 极为 重视 的 问题 ， 因 
为 稍 有 不 慎 就 会 酿 成 灾难 性 后 果 ， 这 主要 是 基于 安保 平台 的 特殊 地 位 。 正 是 基于 这 样 的 
理念 ， 在 此 阶段 ， 要 重点 对 安保 平台 的 一 期 版 本 进行 针对 性 的 风险 治理 。 其 过 程 包括 组 
织 有 关 专 家 针对 性 地 对 安保 平台 进行 琶 别 、 代 码 审核 ， 并 归纳 潜在 的 风险 类 别 ; 针对 风 
险 点 逐一 进行 调整 和 改进 ; 对 已 上 线 系统 的 影响 降 为 最 小 。 

4) 模块 调整 、 模 拟 演练 和 上 线 准 备 阶段 。 在 此 阶段 是 对 安保 平台 的 各 种 服务 功能 
和 管理 功能 进行 针对 性 的 优化 组 合 ， 以 支撑 新 综合 业务 系统 的 分 阶段 上 线 需 求 。 为 保障 
上 线 后 系统 的 稳定 运行 ， 应 组 织 全 行 范围 内 的 模拟 演练 ， 并 保证 系统 的 稳定 性 。 

5) 基础 设施 扩充 及 完善 阶段 。 作 为 整个 C 行 信息 科技 系统 的 重要 支撑 模块 之 一 ， 
安保 平台 的 基础 设施 功能 将 在 此 阶段 不 断 得 到 补充 和 完善 ， 根 据 业 务 发 展 需求 扩充 支持 
服务 ， 如 短信 OTP 认证 支撑 功能 、IC 卡 密 钥 管理 功能 等 。 

3. 安保 平台 取得 的 主要 成 果 

1) 体系 化 建设 。C 行 安全 服务 保障 平台 的 建设 ,不 仅仅 是 一 个 产品 或 系统 的 建设 ， 
更 是 一 个 安全 体系 和 应 用 安全 架构 的 建设 。 一 方面 ， 安 保平 台 的 设计 和 建设 是 依托 于 C 
行业 务 应 用 架构 ， 并 对 现 有 系统 进行 全 面 而 有 效 的 分 析 后 ， 提 炼 出 来 的 功能 齐备 的 并 为 
所 有 业务 应 用 服务 的 安全 服务 保障 机 制 支 撑 平 台 ; 另 一 个 方面 ， 安 保平 台 的 建设 也 体现 
出 了 安全 问题 是 渗透 到 各 个 方面 的 全 局 问题 ， 需 要 在 整体 上 综合 考量 的 思想 。 有 了 这 样 
的 思想 和 体系 ， 密 码 应 用 和 用 户 安全 问题 的 考察 点 位 置 提升 了 ， 解 决 问题 的 方向 更 加 明 
确 了 ， 应 用 安全 的 具体 实施 方法 也 就 更 加 便捷 了 。 

目前 安保 平台 体系 化 成 果 初 露 端倪 ， 即 依托 于 C 行 的 安全 技术 架构 ， 构 建 起 了 安 
全 基础 设施 平台 、 用 户 安全 平台 及 客户 安全 平台 等 三 大 平台 系统 。 其 中 安全 基础 设施 平 
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台 是 基础 并 支撑 后 两 个 平台 ， 包 括 安全 的 基础 服务 、 安 全 设备 及 密 钥 服务 等 用户 安全 
平台 则 侧重 服务 于 行内 员工 为 用 户 的 各 类 应 用 系统 ， 主 要 提供 对 用 户 的 标识 管理 、 认 证 
支撑 功能 ; 而 客户 安全 平台 则 主要 服务 于 银行 客户 为 用 户 的 应 用 系统 ， 如 网 络 银行 系 
统 、 电 话 银 行 系统 等 。 用 户 安全 平台 和 客户 安全 平台 具有 许多 相似 性 ， 但 主要 差别 在 于 
服务 于 不 同 用 户 对 象 。 

2) 自主 创新 成 果 。 安 保平 台 的 建设 既是 技术 创新 、 又 是 体系 创新 。 安 保平 台 的 核 
心 均 采用 和 支持 我 国 密码 专家 自主 创新 的 算法 及 体系 ; 同时 ， 应 用 安全 架构 也 采用 了 其 
他 同类 机 构 从 未 采用 过 的 应 用 安全 模式 ， 这 些 都 体现 了 C 行 积极 探索 勇于 创新 的 开拓 
精神 。 

3) 合 规 性 、 标 准 化 建设 。 安 保平 台 的 建设 与 实施 有 效 提高 了 整个 新 综合 业务 系统 
的 安全 等 级 和 安全 强度 。 安 保平 台 建 设 的 根本 目标 ， 是 针对 业务 应 用 系统 中 处 理 或 传输 
的 各 类 敏感 信息 处 理 过程 ， 将 敏感 信息 进行 分 类 ， 在 相关 国内 、 国 际 安全 标准 和 规范 的 
旧时 下 ， 提 供 针对 性 的 安全 服务 保障 处 理 机 制 和 手段 ， 使 得 整个 业务 系统 的 安全 等 级 或 
强度 充分 可 调和 可 控 。 

4) 完善 了 应 用 安全 风险 管理 体系 。 安 保平 台 除 了 全 局 化 、 体 系 化 、 有 针对 性 地 构 
建 相应 的 安全 服务 功能 外 ， 也 同样 充分 考虑 了 安全 服务 、 安 全 设备 及 相关 密 钥 的 综合 管 
理 。 在 安保 平台 安全 服务 、 安 全 设备 的 管理 做 到 了 可 集中 配置 、 可 和 集中 管理 和 监控 ， 克 
服 了 管理 信息 分 散 杂 乱 的 局 限 性 。 同 时 ， 也 将 管理 安全 服务 功能 所 使 用 的 相关 密 钥 复杂 
性 彻底 屏蔽 掉 ， 并 简化 与 应 用 的 接口 ， 从 整体 上 方便 和 强化 了 安全 管理 工作 。 

5) 完善 了 C 行 信息 系统 的 安全 产品 线 。 安 保平 台 系统 的 建成 ， 首 先 将 银行 传统 交 
易 安 全 功能 (PINAMAC) 实现 硬件 化 ， 并 扩充 了 金融 加 密 机 的 应 用 边界 ， 开 发 和 扩充 
了 多 种 加 密 机 设备 类 别 ， 包 括 支持 CPK 功能 的 加 密 机 、 终 端 加 密 机 模块 、 通 道 应 用 加 
密 机 等 ; 其 次 ， 实 现 了 对 各 种 安全 设备 的 统一 设备 管理 和 密 钥 管理 ; 第 三 ， 建 立 或 完善 
了 认证 基础 设施 ， 如 PKIACA/RA 或 CPK/KMC; 第 四 ， 通 过 客户 安全 平台 或 用 户 安全 
平台 提供 了 较为 强大 的 ID 管理 及 认证 文 撑 功能 ， 并 支持 多 种 认证 手段 ， 如 口令 、CPK 
USB Key、PKI USB Key、SMS OTP 、Token OTP、 指 纹 等 ; 第 五 ， 通 过 用 户 安 全 平台 提 
供 了 重要 的 C 行 机构 数 据 管理 及 基于 用 户 的 权限 管理 。 


23.2 基于 大 数据 的 网 络 安全 态势 实践 


某 股份 制 银 行 M 行 ,于 2013 年 在 讨论 如 何 面 对 APT (高 级 持续 威胁 ) 攻击 时 ， 决 
定 在 现 有 防护 技术 的 基础 上 ， 建 立 基 于 大 数据 的 网 络 安全 态势 体系 。 


23.2.1 当时 的 状况 和 问题 


M 行 的 信息 技术 环境 主要 分 为 互联 网 域 、 办 公 域 和 生产 域 两 大 网 络 ， 具 体 为 : 
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1) 办 公 网 : 包括 支持 办 公 系 统 的 区 域 和 办 公 网 包括 分 支 机 构 ， 都 通过 集中 的 核心 
交换 机 互联 后 访问 互联 网 。 

2) 生产 网 : 包括 生产 系统 的 区 域 和 互联 网 出 口 。 

3) 安全 措施 : 都 是 采用 双 层 防火 墙 架构 ;所 有 对 网 络 设备 和 生产 服务 器 的 维护 ， 
都 要 通过 堡垒 机 进行 。 

虽然 在 办 公 网 、 生 产 网 和 分 行 都 采取 了 多 种 安全 控制 措施 来 保障 整个 网 络 的 安全 
性 ， 但 是 随 着 飞速 发 展 的 互联 网 安全 技术 必须 采取 更 为 先进 的 安全 控制 及 管理 措施 来 开 
展 网 络 安全 建设 工作 ， 进 过 对 当时 状况 的 分 析 得 出 以 下 问题 。 

1. 基础 安全 信息 的 可 视 化 能 力 不 足 

当时 的 安全 控制 措施 ， 如 防火 墙 、IDS 、 终 端 安 全 管理 系统 等 ， 都 独立 维护 和 监控 ， 
都 是 一 个 个 信息 孤岛 ， 信 息 不 共享 ， 无 法 关联 分 析 。 而 且 ， 目 前 的 安全 控制 措施 都 是 基 
于 签名 的 方式 进行 安全 检测 和 防护 ， 只 能 防范 已 知 攻击 ， 产 生 的 安全 日 志 信 息 也 是 基于 
签名 的 方式 ， 对 于 “ 零 日 ”攻击 无 法 识别 。 基 础 安全 信息 来 源 不 足 ， 内 容 有 限 ， 极 大 
限制 了 进一步 进行 安全 信息 挖掘 的 能 力 ， 需 要 收集 更 多 的 安全 信息 ， 为 进一步 分 析 挖 气 
提供 基础 数据 支持 。 

2. 安全 智能 分 析 和 感知 能 力 不 足 

随 着 业务 的 增长 ， 安 全 信息 海量 增长 并 呈现 非 结 构 化 的 特点 ， 彼 此 关联 显 性 不 足 ， 
目前 缺乏 强 有 力 的 技术 手段 来 支撑 信息 的 采集 、 分 析 挖 气 和 动态 感知 。 需 要 大 数据 处 理 
和 分 析 平 台 ， 支 撑 海 量 信息 的 处 理 ， 需 要 智能 分 析 模 型 ， 快 速 识别 攻击 行为 和 内 部 用 户 
的 违规 行为 。 同 时 需要 引入 外 部 智能 知识 库 ， 纳 入 到 内 部 安全 分 析 ， 以 提高 效率 和 准 
确 性 。 

3. 基于 信息 技术 风险 的 可 视 化 能 力 不 足 

目前 主要 基于 安全 事件 进行 监控 和 处 理 ， 尚 无 法 达到 通过 风险 来 衡量 信息 技术 系统 
的 安全 状态 和 趋势 。 风 险 是 动态 的 、 无 法 消除 的 ， 风 险 可 控 是 信息 技术 系统 安全 的 
目标 。 

4. 安全 响应 和 运营 能 力 不 足 

目前 人 员 组织 不 足 ， 更 不 具备 安全 监控 、 调 查分 析 取 证 和 响应 处 理 的 技术 支撑 平 
台 , 一 旦 发 生 安全 事件 ， 响 应 周期 会 很 长 ， 造 成 的 安全 损失 不 可 控 。 

5. 无 法 有 效 度量 安全 管理 制度 和 策略 的 执行 及 合 规 情况 

安全 合 规 的 可 视 化 水 平 不 足 ， 无 法 度量 安全 制度 和 策略 在 操作 层面 的 执行 及 合 规 
情况 。 

6. 无 法 有 效 度量 信息 技术 风险 对 业务 的 影响 

安全 违规 事件 、 攻 击 威 胁 事 件 和 信息 技术 风险 的 感知 处 理 ， 到 底 在 多 大 程度 上 影响 
业务 ， 目 前 不 可 知 ， 需 要 通过 和 业务 信息 资产 、 业 务 目标 关联 ， 来 进一步 判断 信息 技术 
风险 对 业务 的 影响 。 
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23.2.2 解决 问题 的 思 


针对 安全 管理 体系 的 规划 和 发 展 ，M 行 以 “安全 管理 成 熟 度 模型 ”作为 安全 管理 
平台 规划 和 建设 的 指导 方法 ， 如 图 23-1 所 示 。 


业 第 内 
于 


第 四 阶段 


ea 业务 风险 
波 太 


第 二 阶段 
合 规 4 主动 性 防御 


第 二 阶段 区 风险 可 视 化 

莘 制 A 按 需 选择 安全 防御 未 知 威胁 威胁 和 风险 实时 
可 防御 已 知 威胁 减少 攻击 表现 的 可 视 化 

反应 式 安全 自动 化 的 合 规 异常 行为 分 析 

事件 驱动 安全 基于 风险 的 提高 和 改善 ”补救 计划 

战术 防御 

无 法 避免 安全 危害 


图 23-1 安全 管理 成 熟 度 模型 

该 模型 主要 分 为 四 个 阶段 ， 从 基础 的 安全 控制 阶段 ， 逐 步 发 展 到 基于 业务 风险 的 全 
面 管控 阶段 ， 从 反应 式 的 安全 战术 防御 阶段 ， 发 展 到 基于 业务 的 战略 防御 阶段 。 四 个 主 
要 阶段 的 内 容 如 下 : 

1) 第 一 阶段 : 控制 防御 阶段 。 该 阶段 处 于 安全 管理 水 平 的 初级 阶段 ， 是 反应 式 安 
全 ， 主 要 靠 事件 驱动 开展 安全 工作 ， 发 现 了 安全 威胁 ， 并 造成 了 一 定 的 损失 后 ， 开 展 安 
全 防护 补救 。 该 状态 导致 安全 威胁 不 可 知 ， 事 后 补救 ， 往 往 无 法 避免 安全 危害 的 产生 。 

2) 第 二 阶段 : 合 规 管 理 阶段 。 该 阶段 具备 安全 管理 框架 和 防御 体系 ， 可 以 按照 需 
求 选择 安全 控制 措施 ， 部 署 专业 的 安全 控制 措施 可 实现 对 已 知 威胁 的 检测 和 有 效 防护 ， 
如 部 署 了 IDS 可 检测 已 知 攻击 行为 、 部 署 了 防 病毒 可 检测 已 知 病毒 行为 等 。 安 全 检查 和 
合 规 在 一 定 程度 上 可 以 通过 技术 手段 自动 化 开展 。 总 体 来 讲 ， 这 仍 属于 被 动 防御 能 力 阶 
段 ， 风 险 可 视 化 能 力 依 旧 不 高 ， 无 法 主动 发 现 安全 威胁 、 主 动 采取 措施 ， 不 具备 防御 未 
知 威胁 的 能 

3) 第 三 阶段 : 信息 技术 风险 管理 阶段 。 该 阶段 通过 采用 先进 的 安全 技术 ,全面 整 
合资 源 ， 可 全 面 提高 安全 信息 采集 和 分 析 控 掘 能 力 ， 可 以 在 现 有 控制 措施 的 基础 上 ， 实 
现 更 全 面 、 更 深度 、 更 智能 的 安全 感知 能 力 。 能 够 有 效 识别 未 知 的 安全 威胁 和 用 户 异 常 
行为 ， 快 速 响应 和 补救 ， 降 低 安全 损失 。 该 阶段 以 信息 技术 风险 为 视角 ， 通 过 基础 数据 
的 采集 和 分 析 建 模 ， 呈 现 信息 技术 风险 的 可 视 化 。 

4) 第 四 阶段 : 业务 风险 管理 阶段 。 该 阶段 将 信息 技术 风险 和 业务 资产 、 流 程 、 身 
份 进行 关联 建 模 ， 体 现 信 息 技术 风险 对 业务 可 能 造成 的 影响 ， 全 面 展示 信息 技术 风险 的 
控制 能 力 对 业务 发 展 的 保障 和 改善 能 力 ， 全 面 提高 威胁 和 风险 识别 的 实时 可 视 化 能 
280 


银行 信息 安全 风险 管理 实践 与 案例 | 第 23 章 | 


建立 安全 运营 中 心 ， 基 于 安全 分 析 技 术 能 力 ， 完 善人 员 组 织 、 流 程 设计 ,确保 业务 风险 
能 够 快速 识别 和 处 理 。 

安全 管理 成 熟 度 模型 的 发 展 过 程 ， 可 作为 M 行 安全 管理 平台 规划 和 发 展 的 理论 指 
导 。 根 据 当时 的 状况 和 存在 的 问题 ，M 行 信息 技术 系统 已 经 具备 相对 成 熟 的 安全 管理 
制度 和 对 应 的 安全 控制 措施 ， 形 成 了 以 防御 和 审计 为 主 的 安全 控制 框架 。 和 “安全 管 
理 成 熟 度 模型 ”对 标 分 析 ， 可 以 认为 M 行 的 安全 管理 能 力 目 前 处 于 第 二 阶段 , 已 经 具 
备 了 向 第 三 和 第 四 阶段 发 展 的 条 件 。 

M 行 根据 自己 的 具体 情况 ,选择 向 第 三 阶段 和 第 四 阶段 同时 横向 发 展 ， 然 后 纵向 
分 步 的 思路 进行 建设 ， 而 非 完 全 按照 成 熟 度 模型 定义 的 分 阶段 进行 映射 覆盖 。 

第 一 步 : 建立 高 级 安全 运营 中 心 ， 实 现 基 础 信息 库 和 分 析 、 响 应 能 力 。 建 立 基础 安 
全 信息 智能 分 析 平 台 ， 能 够 采集 和 处 理 所 有 的 安全 信息 、 同 时 具备 智能 分 析 和 挖掘 能 
力 ， 为 信息 技术 风险 分 析 建 立 数据 基础 ;建立 安全 事件 运营 和 响应 机 制 ， 借 助 安全 分 析 
技术 平台 ， 建 立 安 全 事件 响应 和 运营 机 制 ， 通 过 人 员 组 织 、 流 程 设 计 ， 实 现 安全 运营 的 
初级 阶段 ; 建立 基于 业务 的 信息 安全 资产 库 ， 将 安全 事件 和 业务 资产 关联 ， 以 业务 的 视 
角 去 分 析 安 全 事件 造成 的 业务 影响 。 

第 二 步 : 逐步 完善 信息 技术 风险 管理 能 力 ， 与 业务 目标 建立 上 下 文 关 系 。 逐 步 完善 
言 息 技 术 风 险 管理 相关 能 力 ， 如 策略 管理 等 ， 以 业务 信息 安全 资产 库 为 中 心 ， 信 息 技术 
风险 与 业务 目标 的 上 下 文 关联 关系 ， 进 一 步 提 高 安全 运营 和 响应 能 

第 三 步 : 将 “治理 ”“ 合 规 ”“ 风 险 ”三 位 于 一 体 。 逐 步 完 善信 息 技术 风险 管理 能 
力 、 安 全 合 规 能 力 、 操 作风 险 能 力 ， 整 合 基 础 数据 、 安 全 模型 、 管 理 制度 、 风 险 指标 、 
业务 目标 等 多 种 资源 为 一 体 ， 建 立 全 行 GRC 平台 。 


23.2.3 具体 方案 


1. 安全 管理 平台 总 体 规划 

具体 方案 如 图 23-2 所 示 。 

如 上 图 所 示 ， 该 架构 是 M 行 未 来 安全 体系 框架 的 总 体 蓝图 ， 最 终 希 望 能 够 建成 适 
合 M 行 的 GRC 平台 ， 控 制 和 指导 全 行 的 信息 安全 工作 。 该 平台 主要 有 以 下 部 分 组 成 。 

(1) 安全 基础 数据 源 该 平台 能 够 采集 网 络 数据 包 、 安 全 日 志 、NetFlow 和 终端 恶 
意 软件 发 现 类 数据 ， 作 为 整个 平台 的 信息 安全 基础 数据 源 ， 为 处 理 和 分 析 挖 掘 提 供 数 据 
基础 。 

(2) 数据 采集 和 处 理 ”针对 不 同 的 类 型 ， 通 过 不 同 的 方式 进行 数据 采集 ， 采 集 后 ， 
对 数据 进行 解析 ， 根 据 安 全 智能 知识 库 和 外 部 信息 进行 数据 富 集 ， 建 立 数据 索引 ， 为 检 
索 和 分 析 建 立 结构 基础 。 

(3) 安全 智能 分 析 、 感 知 和 调查 “采用 大 数据 分 析 技 术 对 数据 进行 挖掘 ， 通 过 关 
联 分 析 将 各 种 不 同类 型 的 数据 源 ， 如 网 络 数据 包 、 日 志 、 终 端 类 数据 等 ， 统 一 进行 关联 
分 析 ， 发 现 潜在 的 安全 攻击 和 异常 行为 ， 产 生 告 警 。 通 过 联合 调查 功能 ， 对 安全 告警 事 
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R41 | 业 安 全 治理 、 风 险 管控 和 合 规 管理 


合 规 业务 连 名 
器。 


安 

全 企业 信息 安全 资产 库 

让 [ 业务 J 服务 ][ 设备 ][ 人 员 ][ 共 他 |] 

知 

辽 安全 智能 分 析 、 感 知 和 调查 

大 数据 存储 和 挖 据 | ”实时 关联 分 析 | 
数据 采集 和 处 理 
数据 采集 数据 解析 数据 富 集 数据 索引 


安全 基础 数据 源 


而 天 


图 23-2 M 行 安全 管理 平台 总 体 规划 


件 进行 调查 ， 找 到 问题 的 根源 ， 并 可 输出 报告 

(4) 企业 信息 安全 资产 库 ”建立 企业 信息 安全 资产 库 ， 作 为 整个 安全 体系 建 模 的 
核心 ,包含 了 业务 、 服 务 、 设 备 、 系 统 、 人 员 等 多 种 信息 。 利 用 企业 信息 安全 资产 库 ， 
可 以 跟踪 产品 、 服 务 和 业务 流程 的 风险 和 合 规 性 状态 。 发 现 的 安全 事件 可 以 通过 企业 信 
息 安 全 资产 库 进 行 信息 富 集 ， 添 加 相关 的 业务 上 下 文 信息 ， 如 事件 所 涉及 的 业务 资产 、 
责任 人 、 严 重 级 别 等 ， 为 安全 事件 运营 、 风 险 管理 提供 基础 模型 支撑 。 

(5) 安全 运营 人 
和 流程 支持 ， 对 安全 事件 进行 快速 响应 和 人 处理， 逐步 提高 运行 能 力 和 水 平 。 

(6) 漏洞 管理 ”采集 各 种 漏洞 扫描 系统 的 扫描 数据 ， 与 企业 业务 资产 信息 库 进 行 
关联 ， 对 漏洞 的 分 类 、 影 响 范 围 、 严 重 性 等 进行 分 析 。 

(7) 风险 管理 ”建立 风险 目标 ， 基 于 企业 业务 资产 ,将 风险 目标 和 漏洞 信息 、 威 
胁 信息 进行 建 模 计算 ， 产生 风险 指标 ， 实 现 风险 可 视 化 ， 并 能 够 将 风险 控制 在 可 接受 范 
围 内 。 前 脆性 地 解决 业务 所 面临 的 声誉 、 财 务 、 运 营 和 信息 技术 风险 。 

(8) 策略 管理 ”为 安全 策略 生命 周期 的 管理 提供 了 一 致 的 流程 。 将 安全 管理 制度 
作为 管理 对 象 纳 入 平台 管理 ， 实 现 策略 发 布 、 审 阅 、 例 外 、 批 准 等 管理 流程 的 自动 化 ， 
并 能 够 将 策略 和 业务 资产 、 基 础 控制 措施 进行 关联 ， 度 量 策略 的 执行 情况 。 

(9) 合 规 管理 ”将 内 部 和 外 部 的 安全 管理 标准 、 规 范 和 具体 控制 措施 建立 映射 关 
系 ， 实 现 合 规 的 自动 化 、 常 态 化 度量 。 

(10) 审计 管理 ”可 以 完整 控制 审计 项 目的 生命 周期 ， 实 现 持 续 向 前 的 审计 优化 治理 
集中 定义 审计 计划 、 优 先 级 、 流 程 跟踪 和 报告 ， 实 现 自动 化 审计 ， 提 高 协作 能 力 和 效率 。 

(11) 业务 连续 性 管理 ”定义 业务 联系 性 标准 、 计 划 和 流程 ， 进 行 日 常 业 务 连 续 性 
282 


NS 
| 


\ 


AN 


银行 信息 安全 风险 管理 实践 与 案例 | 第 23 章 | 


测试 。 

(12) 第 三 方 管理 ”针对 第 三 方 合作 伙伴 进行 风险 管理 和 监控 、 合 规 管理 。 

(13) 安全 智能 知识 库 ”建立 和 维护 安全 智能 知识 库 ， 将 外 部 智能 库 和 运营 知识 库 
相 结 合 ， 提 供 全 球 安全 数据 、 产 品 更 新 、 规 则 更 新 ， 将 全 球 智能 知识 库 和 内 部 安全 分 析 
相 结 合 ， 提 高 识别 和 感知 能 力 ， 提 高 态势 感知 和 预警 能 

2. 完成 目标 的 3 个 阶段 

(1) 第 一 阶段 ”要 完成 的 目标 是 以 下 内 容 : 

1) 采集 网 络 数据 包 和 安全 日 志 两 种 类 型 的 数据 。 

2) 数据 采集 和 处 理 。 

3) 安全 智能 分 析 、 感 知 和 调查 。 

4) 企业 信息 安全 资产 库 。 

5) 安全 运营 。 

6) 漏洞 管理 。 

该 阶段 注重 基础 功能 的 建设 实现 和 运营 架构 的 组 件 和 经 验 积累 ， 是 基础 建设 阶段 。 
第 一 阶段 的 平台 建设 目标 见 图 23-3。 


一 银行 企业 安全 治理 、 风 险 管控 和 合 规 管理 


需 直 办 琶 证 由 由 


| 展示 和 报告 


v | RA A | 


大 数据 存储 和 挖 据 实时 关联 分 析 查询 和 报告 


数据 采集 数据 解析 数据 富 集 数据 索引 
安全 基础 数据 源 


| 网 娩 冯 据 包 


图 23-3 第 一 阶段 的 平台 建设 日 标 


(2) 第 二 阶段 第 二 阶段 的 项 目 建设 主要 实现 以 下 内 容 : 

1) 数据 采集 增加 NetFlow 和 终端 恶意 软件 扫描 数据 。 

2) 风险 管理 。 

3) 策略 管理 。 

4) 合 规 管理 。 

在 第 一 阶段 的 基础 上 进一步 提高 风险 可 视 化 能 力 和 合 规 管理 能 力 ， 进 一 步 提 高 安全 
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运营 的 效率 。 第 二 阶段 的 平台 建设 目标 如 图 23-4 所 示 。 
二 银行 安全 治理 、 风 险 管控 和 合 规 管理 


芭 基 交 栈 乾 四 册 


数据 采集 | 数据 解析 数据 富 集 | 数据 索引 
安全 基础 数据 源 


网 络 数据 包 


图 23-4 第 二 阶段 的 平台 建设 目标 


(3) 第 三 阶段 第 三 阶段 的 项 目 建设 主要 实现 以 下 内 容 : 

1) 审计 管理 。 

2) 业务 连续 性 管理 。 

3) 第 三 方 管理 。 

整合 所 有 功能 和 资源 ， 全 面 实 现 M 行 企 业 GRC 平台 。 第 三 阶段 的 平台 建设 目标 见 
图 23-5。 


23.2.4 实际 达到 的 效果 


经 过 3 个 阶段 的 项 目 建设 后 ， 总 体 实现 了 5 个 方面 的 能 力 提 升 ， 分 别 如 下 : 

1. 资源 整合 能 力 提升 

整合 全 部 安全 资源 ， 做 到 安全 信息 的 集中 采集 、 分 析 和 统一 管理 。 

2. 技术 能 力 提 升 

提高 安全 分 析 和 感知 能 力 ， 能 够 有 效 发 现 已 知 、 未 知 攻击 ， 识 别 用 户 的 异常 、 违 规 
行为 。 提 高 安全 分 析 的 自动 化 能 力 和 可 视 化 能 力 ， 推 动 安全 工作 常态 化 。 

3. 控制 能 力 提升 

通过 富足 的 信息 采集 和 分 析 ， 可 以 大 大 提高 信息 技术 风险 可 视 化 和 合 规 管理 水 平 。 

4. 管理 运营 能 力 提升 

建立 安全 的 运营 体系 ， 提 高 组 织 协 调 能 力 和 快速 响应 能 力 ， 
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安全 基础 数据 源 
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图 23-5 第 三 阶段 的 平台 建设 目标 


5. 业务 支撑 能 力 提升 

通过 建立 业务 信息 安全 资产 库 ， 将 信息 技术 风险 和 业务 资产 进行 关联 ， 从 业务 视角 
对 风险 进行 管控 ， 提 高 安全 对 业务 的 支撑 能 

安全 态势 感知 技术 是 银行 业 加强 安 全 管理 ， 让 管理 更 深入 、 更 主动 的 关键 环节 ， 需 
要 充分 理解 自身 在 管理 方面 的 需求 ， 合 理 选择 安全 态势 感知 技术 。 


23.3 同城 双 中 心 灾 备 建设 实例 


某 股份 制 银 行 A 行为 响应 建设 灾 备 体系 的 监管 需求 ， 结 合 本 行 的 实际 情况 ， 将 数 
据 中 心 的 迁移 与 同城 双 中 心 灾 备 建设 有 机 结合 在 一 起 ， 成 功 建成 同城 双 中 心 灾 备 体系 ， 
详细 情况 如 下 。 


23.3.1 生产 中 心 信息 技术 架构 整合 实践 


在 建设 过 程 中 ,根据 自身 特点 ， 提 出 了 生产 中 心 信息 技术 架构 整合 方案 ， 并 对 之 进 
行 了 实践 。 内 容 如 下 : 
分 析 业 务 对 信息 技术 架构 服务 连续 性 的 要 求 ， 建 设 同城 高 可 用 中 心 、 异 地 灾 备 中 心 
及 开发 测试 中 心 的 总 体 建设 路 线 。 
将 银行 业 对 系统 安全 的 要 求 ， 以 及 业务 服务 时 间 的 要 求 ， 制 定安 全 的 、 合 理 的 、 将 
生产 中 心 整合 到 一 个 生产 中 心 的 迁移 实施 路 线 。 
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在 迁移 过 程 实施 中 ， 充 分 考虑 到 业务 对 信息 技术 架构 的 非 功能 性 需求 ， 包 括 性 能 、 
安全 、 管 理 、 高 可 用 等 因素 ， 以 及 数据 中 心 场所 的 客观 因素 ， 确 定 机 房 空间 布局 的 规 
则 ， 制 定 整体 信息 技术 物理 架构 整合 方案 ， 实 现 机 房 整 合 。 

同时 结合 信息 技术 的 发 展 ， 采 用 云 中 心 先进 的 理念 ， 定 义 资源 ， 形 成 资源 池 ; 以 服 
务 目 录 的 形式 ， 对 业务 提供 信息 技术 基础 服务 ， 并 完成 资源 的 整合 ， 优 化 资源 的 利用 
率 ， 以 此 完成 计算 资源 及 存储 资源 的 规划 及 设计 。 

1. 总 体 设计 原则 

生产 中 心 信息 技术 架构 整合 总 体 设计 原则 ， 见 图 23-6。 


上 服务 连 朗 往 | 
.以 提升 IT 服务 连续 性 为 首要 原则 ,建立 整合 目标 


。 以 降低 业务 影响 性 为 前 提 ， 制 定 整合 方案 


上 可 用 寿 | 
。 从 物理 到 汐 辑 层面 ， 充 分 考虑 元 余 高 且 可 用 的 架构 


。 充 分 考虑 数据 安全 ， 为 IT 服 务 连续 性 措 建 充分 的 基础 平台 


。 参 考 云 中 心 先进 的 理念 ， 使 用 资源 池 及 服务 目录 的 思想 


到 23-6 ”生产 中 心 信息 技术 架构 整合 总 体 设计 原则 


生产 中 心 信息 技术 架构 整合 应 该 首先 制定 机 房 整合 方案 ， 确 定单 生产 中 心 的 总 体 建 
设 规划 ， 以 及 迁移 到 新 生产 中 心 的 路 线 图 ， 确 认同 城 高 可 用 中 心 、 异 地 灾 备 中 心 的 规 
模 ; 并 在 新 生产 中 心 ， 参 考 云 中 心 的 建设 思路 ， 使 用 标准 化 、 虚 拟 化 、 自 动 化 的 设计 思 
路 ， 实 现 资 源 池 与 服务 目录 的 使 用 ， 完 成 计算 资源 规划 设计 、 存 储 资源 设计 。 

所 有 的 规划 设计 ， 都 需要 考虑 银行 数据 中 心 的 建设 准则 一 一 安全 性 、 可 扩展 性 、 可 
管理 性 、 高 可 用 性 ， 为 实现 COBIT 第 五 级 信息 技术 服务 连续 性 成 熟 度 做 好 信息 技术 建 
设 的 基础 。 

2. 机 房 整合 原则 及 实践 

根据 A 行 建设 总 体 演进 路 线 ， 结 合 A 行 战略 发 展 和 信息 技术 整体 规划 ， 基 于 以 下 
原则 制定 A 行 生产 中 心 信息 技术 架构 整合 策略 : 

1) 以 业务 发 展 战略 和 信息 技术 发 展 战略 为 指导 。 

2) 参照 国际 业务 连续 性 最 佳 并 实践 借鉴 同行 经 验 。 

3) 基础 架构 规划 充分 考虑 前 脆性 。 

4) 遵循 国家 相关 监管 机 构 要 求 及 行业 管理 规范 。 
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5) 技术 可 行 与 风险 成 本 平衡 。 

6) 统筹 规划 、 分 步 实 施 。 

目前 A 行 生产 中 心 有 多 个 数据 中 心 ， 包 括 6 个 在 用 数据 中 心 、1 个 在 建 数据 中 心 ， 
以 及 2 个 规划 数据 中 心 ， 生 产 中 心 信息 技术 架构 整合 的 步骤 如 下 : 

第 一 阶段 : 将 非 核心 系统 迁移 到 较 新 的 数据 中 心 。 

第 二 阶段 : 以 全 新 的 数据 中 心 建设 思路 ， 建 设 A 行 自 有 的 数据 中 心 ， 并 参考 云 中 
心 等 先进 的 信息 技术 设计 理念 ， 完 成 信息 技术 基础 平台 和 计算 资源 和 存储 资源 的 设计 ， 
同时 完成 同城 灾 备 〈 较 新 的 数据 中 心 ) 能 力 的 搭建 。 

第 三 阶段 : 将 核心 系统 迁移 到 全 新 的 生产 中 心 ， 核 心 系统 自动 拥有 同城 灾 备 能 力 ， 
而 非 核心 的 迁移 也 因此 而 变 得 安全 、 可 控 。 

第 四 阶段 : 建设 全 新 的 异地 灾 备 中 心 。 

通过 4 个 阶段 的 建设 , 将 业务 系统 整合 到 新 的 数据 中 心 ; 由 于 新 数据 中 心 在 建设 
时 ,采用 新 的 设备 ， 以 及 安全 元 余 的 硬件 平台 ， 这 将 提升 整个 A 行 信息 技术 系统 业务 
的 连续 性 。 同 时 采用 了 同城 双 中 心 的 设计 ， 将 业务 系统 的 主 系统 分 布 在 两 个 中 心 ， 根 据 
不 同等 级 的 应 用 ， 确 定 部 署 比 例 ， 并 采用 应 用 双 活 、 数 据 库 双 活 的 架构 ， 充 分 利用 ， 有 
效 地 降低 成 本 ; 完善 异地 中 心 的 建设 ， 提 升 业 务 连 续 性 。 

3. 计算 资源 规划 设计 及 实践 

根据 同行 的 经 验 ， 以 及 当前 的 信息 技术 的 发 展 ， 参 考 云 中 心 的 建设 思路 ， 应 对 A 
行业 务 应 用 快速 增长 、 灵 活 变 化 的 需求 ， 未 来 A 行 生 产 中 心中 的 服务 需 架 构 一 一 计算 
资源 ， 将 采用 “资源 池 ” 的 建设 模式 ， 根 据 业 务 应 用 的 需求 ， 快 速 灵 活 的 部 署 ， 迅 速 
响应 应 用 计划 或 突 发 的 计算 资源 要 求 。 

对 于 A 行使 用 计算 资源 池 的 架构 设计 时 ,需要 考虑 现 有 数据 中 心 整合 到 新 数据 中 
的 迁移 工作 ， 需 要 确立 以 保障 应 用 系统 在 新 数据 中 心 稳定 运行 为 “第 一 原则 ”， 应 尽 可 
能 降低 由 于 计算 资源 架构 变化 产生 的 风险 。 因 此 ， 在 应 用 系统 迁移 过 程 中 ， 应 采用 逐 
步 、 小 规模 应 用 推广 计算 资源 池 架 构 的 策略 ， 采 用 原 有 物理 机 加 虚拟 机 的 混合 模式 ， 以 
降低 风险 。 

在 生产 中 心 的 计算 资源 规划 设计 遵循 保障 搬迁 的 原则 、 标 准 化 的 原则 、 资 源 整 合 的 
原则 、 控 制 风 险 的 原则 、 可 用 性 的 原则 、 可 扩展 性 的 原则 、 可 管理 性 的 原则 。 

根据 上 述 的 设计 思路 ，A 行 的 生产 中 心 规划 设计 都 从 资源 池 设 计 开 始 ， 包 括 逻 和 辑 层 
面 和 物理 层面 。 对 于 A 行 多 生产 中 心计 算 资 源 逻 辑 部 署 层 面 ， 采 用 资源 池 与 高 可 用 相 
结合 的 方法 。 实 现 过 程 如 图 23-7 所 示 。 

根据 A 行 的 情况 ,以 及 对 整个 信息 技术 行业 的 发 展 ， 基 本 的 资源 类 可 以 分 为 :X86 
虚拟 化 资源 池 、Power 分 区 资源 池 、HP UX 裸 机 资源 池 、Solaris 逻辑 资源 池 、X86 裸 机 
资源 池 、Power 虚拟 化 资源 池 、Power 裸 机 资源 池 、X86 大 数据 资源 池 、PureScale 资源 
池 ， 如 图 23-8 所 示 。 

结合 各 个 数据 中 心 的 机 房 环 境 、 网 络 基 础 架构 、 存 储 基础 架构 等 ， 可 以 定义 每 类 资 
源 池 在 不 同 数 据 中 心 的 最 小 部 署 单元 (以 机 柜 为 单位 )、 最 大 部 署 能 力 及 扩展 的 规则 。 
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现 有 业务 所 使 用 的 资源 非 功能 需求 
1 .资源 池 类 型 3 资源 池 规划 
战略 发 展 方向 资源 整合 规则 


最 小 规划 单位 一 一 机 柜 


机 房 现实 环境 限制 a 
资源 池 的 物理 要 求 | 的 4 .资源 池 部 署 
= 逻辑 部 署 规则 
所 采用 的 技术 要 求 

逻辑 部 署 物理 部 团 


图 23-7 实现 过 程 图 


分 区 
Power 分 区 资源 池 HP UX 裸 机 资源 池 || ”X86 裸 机 资源 池 X86 虚拟 化 资源 池 
Pure Scale 资 源 池 Solaris 裸 机 资源 池 || X86 大 数据 资源 池 Power 虚 拟 化 资源 池 


Power 裸 机 资源 池 
图 23-8 资源 类 划分 


可 在 每 个 数据 中 心 内 部 ， 以 及 多 个 数据 中 心 之 间 ， 定 义 相 同类 型 资源 池 的 关系 ; 在 最 小 


的 部 署 单元 ， 完 成 低 阶 的 信息 技术 基础 架构 高 可 用 规划 。 


在 上 层 应 用 分 配 资源 时 ， 不 用 考虑 底层 的 物理 设计 ， 便 提高 规划 和 使 用 的 可 靠 性 ， 
加 快 系统 建设 的 效率 ， 完 备 资源 的 生命 周期 管理 ， 提 升 整个 信息 技术 环境 业务 连续 性 的 


建设 。 
4. 存储 资源 规划 设计 


银行 的 核心 是 数据 ,信息 技术 系统 的 业务 连续 性 是 以 数据 为 核心 的 。 为 了 严格 保证 


数据 安全 ， 采 用 以 存储 和 核心 ， 建 立 Fabric 的 思路 : 


1) 整合 存储 ,根据 业务 等 级 的 分 类 、 容 灾 的 级 别 、 性 能 要 求 等 ,制定 统一 的 存储 


使 用 规划 。 
2) 采用 服务 目录 的 形式 ， 对 外 提供 服务 。 
3) 结合 A 行 的 管理 流程 ,定义 决策 树 。 
4) 保证 灵活 性 ， 每 套 存 储 支 持 两 个 机 房 的 主机 访问 。 
5) 优化 主机 存储 的 使 用 ， 减 少 灾 备 复制 卷 。 
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6) 为 存储 虚拟 化 预 留 足 够 的 接口 。 
生产 中 心 、 同 城中 心 、 异 地 中 心 的 存储 ， 通 过 存储 的 复制 技术 连接 到 一 起 ， 为 系统 
连续 性 提供 重要 技术 平台 。 


23.3.2 同城 一 体 化 数据 中 心 实践 


为 了 实现 A 行 数据 中 心 快速 灾难 恢复 能 力 和 单 系 统 的 同城 切换 能 力 ， 同 时 提高 灾 
备 资源 利用 率 和 降低 灾 备 投资 ,在 灾 备 网 络 建设 过 程 中 ,采用 同城 一 体 化 数据 中 心 方 
案 ,， 具体 内 容 如 下 : 

A 行 的 新 生产 中 心 的 建设 思路 都 是 采用 了 云 中 心 的 设计 理念 ， 使 用 了 资源 池 和 服务 
目录 的 先进 思想 ， 对 计算 资源 和 存储 ， 规 划 不 同类 型 的 资源 池 ， 确 定 对 应 类 型 的 服务 目 
录 ; 并 抽象 管理 运 维 流 程 ， 确 定 相同 服务 ， 不 同类 型 资源 池 的 实施 流程 ， 根 据 每 个 技术 
的 不 同 ， 利 用 自动 化 或 手工 的 实施 步 又， 建立 服务 标准 化 的 流程 ， 对 资源 使 用 者 提供 单 
一 服务 目录 界面 。 

对 于 可 水 平 扩展 的 应 用 所 使 用 的 资源 ， 非 常 适合 现 有 的 云 中 心 管 理工 具 。 信 息 技术 
工具 的 成 熟 度 非常 高 ， 可 以 采用 相应 的 平台 或 工具 ， 建 立 同 城 一 体 化 虚拟 中 心 ， 分 为 用 
户 管理 、 资 源 池 管理 、 服 务 目 录 管 理 、 门 户 流程 和 部 署 平台 、 运 营 监控 和 分 析 、 资 源 使 
用 和 容量 6 大 模块 ， 如 图 23-9 所 示 。 


@ 报表 由 门户 管理 
申请 于 审批 ”部署 ” 调整 。 归档 


@@ 逻辑 资源 池 和 服务 目录 管理 


仪表 盘 
逻辑 资源 池 各 类 模板 目录 发 布 监控 
问题 
人 用 户 @ 物理 资源 池 管理 分 析 
容量 
预测 E 存储 网 络 报警 


ETODE 


图 23-9 同城 一 体 化 


云 计算 的 核心 技术 是 虚拟 基础 架构 技术 ， 在 选择 基础 架构 技术 时 ， 需 要 充分 考虑 到 


银行 数据 中 心 的 要 求 一 一 安全 、 可 靠 、 可 管理 的 要 求 ， 选 择 信息 技术 领域 内 成 熟 的 商业 
产品 。 


在 虚拟 基础 架构 之 上 的 为 云 计算 引擎 。 云 计算 引擎 是 按 云 计算 需求 的 把 资源 池 进 行 
逻辑 封装 的 定义 ,包括 用 户 策略 驱动 的 多 租户 定义 、 不 同等 级 资源 的 逻辑 数据 中 心 、 网 
络 定义 、 和 服务 目录 定义 等 内 容 。 对 于 以 上 的 资源 池 、 服 务 目 录 管 理 ， 可 以 根据 虚拟 基 
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础 架构 ， 选 择 云 计算 引擎 。 

而 云 平台 的 管理 界面 ， 也 称 为 门户 ， 可 以 用 来 隔离 后 端 不 同 平台 部 署 的 复杂 性 ， 带 
给 使 用 者 很 多 便利 ， 由 于 需要 结合 A 行 的 管理 流程 ， 需 要 进行 二 次 开发 ， 或 者 选择 接 
口 丰富 的 产品 作为 云 平台 的 门户 。 

对 于 同城 中 心 双 中 心 ， 采 用 同一 个 的 管理 界面/ 系统 ， 建 立 同城 一 体 化 虚拟 化 数据 
中 心 。 而 异地 主 中 心 及 其 他 中 心 采 用 自 有 的 管理 界面 /系统 。 

将 同城 一 体 化 虚拟 化 数据 中 心 纳入 资源 池 的 管理 模式 ， 在 部 署 时 ， 遵 守 计 算 资 源 的 
物理 部 署 规则 ， 从 物理 层面 实现 高 可 用 ; 逻辑 层面 ， 使 用 统一 的 管理 规则 ， 实 现 应 用 级 
别 的 高 可 用 ， 并 最 大 程度 的 实现 在 线 动态 迁移 功能 、 宿 主机 硬件 高 可 用 、 动 态 资源 调 
配 、 备 份 、 基 于 存储 的 动态 资源 调配 、 存 储 /网 络 /0 控制 。 这 些 功能 的 完善 ， 将 有 利 
于 A 行 多 生产 中 心 的 信息 技术 连续 性 建设 。 


23.3.3 同城 双 中 心 一 体 化 网 络 实践 


为 了 实现 A 行 数据 中 心 快速 灾难 恢复 能 力 和 单 系 统 的 同城 切换 能 力 ， 同 时 提高 灾 
备 资源 利用 率 ， 在 A 行 灾 备 网 络 建设 过 程 中 ， 提 出 了 同城 双 中 心 一 体 化 网 络 方案 ,， 具 
体内 容 如 下 。 

1. 一 体 化 网 络 建 设 内 容 

A 行 同城 容 灾 网 络 环境 的 设计 和 建设 、 演 进 以 服务 业务 系统 为 根本 目标 ， 充 分 结合 
实际 环境 条 件 和 自身 发 展 规划 ， 选 择 了 一 种 稳健 、 前 瞻 的 模式 。 容 灾 网 络 环境 主要 包括 
三 方面 内 容 : 

1) 构建 数据 中 心 互联 (DCI) 层面 ， 实 现 数据 中 心间 简单 互联 ， 并 支持 演进 到 多 
数据 中 心 弹性 互联 的 模式 。 

2) 构建 承载 层面 ， 实 现 业务 对 外 交付 的 有 效 通道 。 

3) 结合 内 外 部 环境 特点 ， 建 设 由 多 运营 商 组 成 的 双环 密集 波 分 (DWDM) 传输 层 
面 ， 为 网 络 、 存 储 提供 稳定 的 基础 设施 。 

2. 一 体 化 网 络 架 构 设 计 及 实施 

一 体 化 网 络 实施 如 图 23-10 所 示 。 

(1) 构建 数据 中 心 互联 (DCI) 层面 ”选择 文 持 OTV、EVI 等 Overlay 技术 的 DCB 
设备 构建 数据 中 心 互联 环境 ， 在 数据 中 心 内 部 采用 VPC、VSS、IRF2 等 技术 消除 环 路 ， 
提高 链 路 利用 率 。 在 DCB 设备 上 隔离 两 个 数据 中 心 的 STP 域 ， 降 低 单 中 心 环 路 的 影响 。 
根据 现 有 规划 ， 未 来 5 年 内 可 能 在 北京 建立 一 个 新 的 自 有 数据 中 心 ， 使 用 Overlay 技术 
可 以 实现 多 中 心 对 接 。 

(2) 构建 承载 层面 ”使 用 承载 网 简化 同城 数据 中 心 和 同城 机 构 、 异 地 容 灾 中 心 和 
分 支 机 构 间 的 层次 ， 实 现 容 灾 切 换 时 的 流量 调度 ， 进 而 对 现 有 业务 流量 进行 优化 。 

(3) 构建 传输 层面 ”传输 层面 关注 两 个 指标 : 传输 延 时 ， 这 个 指标 与 链 路 长 度 相 
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网 络 服务 环境 D4 


ES 


图 23-10 一 体 化 网 络 实施 图 


关 ; 稳定 性 ， 这 个 指标 涉及 的 因素 较 多 ， 都 可 能 对 同城 环境 的 可 用 性 造成 致命 影响 。 
由 于 同城 数据 中 心 位 于 郊区 ， 运 营 商 裸 光纤 (Dark Fiber) 资源 相对 匮乏 ， 且 运 
商 在 郊区 的 维护 能 力 较 城区 薄弱 。 为 元 服 这 些 情 况 造成 的 影响 ， 经 过 多 次 优化 ， 最 终 业 
裸 光纤 距离 控制 在 60 ~70km 之 间 ， 将 同城 系统 间 延 时 控制 在 1 毫秒 以 内 。 采 用 3 家 
营 商 4 条 裸 光纤 实现 双环 路 组 网 的 模式 ， 降 低 不 稳定 性 因素 造成 的 影响 。 
男 外 ， 在 数据 中 心 内 使 用 大 二 层 拓扑 来 提高 资源 利用 率 ， 使 用 网 络 设备 的 同城 集群 
功能 提高 业务 发 布 、 切 换 的 自动 化 水 平 也 是 本 次 同城 容 灾 网 络 建设 的 具体 实践 措施 。 


1 茶 于 


可 


23.3.4 应 用 系统 双 活 实践 


为 了 实现 A 行 数据 中 心 快速 灾难 恢复 能 力 和 单 系 统 的 同城 切换 能 力 ， 同 时 提高 灾 
备 资源 利用 率 ， 在 A 行 灾 备 建设 过 程 中 ， 提 出 了 应 用 系统 双 活 方案 ， 内 容 如 下 。 

1. 应 用 系统 分 析 

为 了 能 实现 真正 意义 上 的 双 活 中 心 ， 在 A 行进 行 了 深入 人 研究 和 探索 ， 其 中 对 DB2 
的 GDPC 双 活 技术 进行 了 反复 的 方案 验证 ， 最 终 实现 在 计 费 系统 上 做 了 Active- Active 的 
双 活 落地 实践 。 该 系统 的 主要 特点 为 : 

1) 7 x24 小 时 OLTP 应 用 ， 对 可 用 性 要 求 较 高 。 

2) 应 用 类 型 单一 ， 读 写 比例 较 大 。 
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3) 功能 独立 ， 系 统 发 生 异 常 不 会 影响 全 行 其 他 交易 。 

2. 技术 实现 分 析 

GDPC 同城 双 活 技术 ， 即 地 理 上 分 散 的 DB2 pureScale 集群 。GDPC 架构 允许 分 布 式 DB2 
pureScale 集群 ， 从 而 可 以 使 集群 的 成 员 位 于 不 同 站 点 ， 实 现 跨 数 据 中 心 的 数据 库 双 活 。 

构建 在 标准 DB2 for zx/0S@ Parallel Sysplex®@ 的 数据 共享 体系 结构 上 时 ，DB2 pureS- 

cale Feature 在 AIX@ 和 Linux 平台 上 提供 了 突出 的 数据 库 可 伸缩 性 、 可 用 性 和 应 用 程序 
透明 性 。 但 是 ， 任 何 单一 站 点 系统 (甚至 是 DB2 pureScale 系统 或 DB2 for z/OS Parallel 
Sysplex) 都 容易 受到 会 危及 整个 站 点 安全 的 外 部 事件 〈 例 如 ， 大 范围 的 电源 或 通信 中 
断 ) 的 攻击 。 因 为 灾难 (如 电源 故障 和 火灾 ) 可 能 会 禁用 单个 数据 中 心 ， 所 以 许多 大 
型 信息 技术 组 织 都 配置 了 2 个 站 点 ， 这 足以 应 付 单 独 的 电源 线路 故障 。 此 配置 将 使 整 
个 系统 中 断 的 风险 降 至 最 小 ， 并 允许 在 一 个 站 点 上 开展 业务 ， 即 使 另 一 个 站 点 受到 灾难 
的 影响 时 也 是 如 此 。 与 DB2 for z/OS 的 Geographically Dispersed Parallel Sysplex" "配置 一 
样 ， 地 理 上 分 散 的 DB2 pureScale 集群 也 提供 了 常规 单一 站 点 DB2 pureScale 集群 的 可 伸 
缩 性 和 应 用 程序 透明 性 ， 而 在 启用 了 Active- Active 系统 可 用 性 的 跨 站 点 配置 中 则 未 提 
供 ， 即 使 面 对 许 多 类 型 的 灾难 也 是 如 此 。 
双 活 Active- Active 的 工作 模式 非常 关键 ， 这 是 因为 它 意味 着 在 正常 操作 期 间 ，2 个 
站 点 中 的 DB2 pureScale 成 员 将 照常 共享 它们 之 间 的 工作 负载 ， 并 进行 工作 负载 均衡 
(WLB)， 以 使 站 点 内 或 站 点 之 间 的 活动 在 所 有 成 员 上 都 保持 最 佳 级 别 。 这 意味 着 第 二 
个 站 点 不 是 在 等 到 发 生 某 些 错 误 时 可 用 的 备用 站 点 。 相 反 ， 第 二 个 站 点 正在 发 挥 其 作 
用 ， 即 使 在 日 常 操作 期 间 也 能 使 投资 得 到 回报 。 

典型 的 DB2 pureScale 集群 由 下 列 各 项 组 成 : 

1) 2 个 或 更 多 DB2 pureScale 成 员 。 

2) 2 个 集群 高 速 缓存 设施 ( CF) 。 

3) 连接 了 SAN 并 正在 运行 GPFS 的 集群 存储 器 。 

4) 低 延 迟 的 高 速 连接 ， 例 如 ，InfiniBand (IB) 、10GE 或 基于 聚合 以 太 网 (RoCE ) 
的 远程 直接 存储 器 存 取 (RDMA ) 。 

该 集群 具有 4 个 成 员 和 2 个 CF， 并 使 用 10GE 网 络 进行 等 待 时 间 较 短 的 通信 。DB2 
pureScale Feature 是 一 种 共享 数据 体系 结构 ， 在 该 体系 结构 中 ， 所 有 成 员 都 对 数据 库 的 
单个 副本 执行 操作 并 通过 CF 相互 通信 ， 以 使 活动 同步 及 插入、 修改 和 检索 应 用 程序 所 
需 的 数据 。 成 员 与 CF 之 间 的 消息 是 使 用 集群 互 连 中 的 RDMA 功能 ， 该 功能 将 使 通信 
等 待 时 间 极 短 并 使 每 条 消息 的 CPU 使 用 率 非 常 低 。 在 利用 了 以 太 网 的 pureScale 集群 
中 ， 存 在 一 些 非常 有 限 的 成 员 到 成 员 通 信 。 

在 站 点 A 与 B 之 间 将 DB2 pureScale 分 割 成 相等 的 两 半 时 ， 意 味 着 半数 成 员 系 统 将 
实际 位 于 站 点 A 中 ， 而 另 一 半 则 位 于 站 点 B 中 。 在 发 生 站 点 故障 情况 下 ， 如 果 要 实现 
Tie Breaking 和 透明 故障 转移 ， 那 么 需要 第 三 个 站 点 ， 即 应 该 在 两 个 主 站 点 中 各 放置 一 
个 CF， 以 避免 单一 故障 点 (SPOF) 。 为 了 保持 DB2 pureScale 软件 的 最 佳 性 能 和 可 伸缩 
性 ， 在 站 点 之 间 使 用 支持 RDMA 的 互联 ， 以 便 从 一 个 站 点 中 的 成 员 发 出 的 消息 能 够 尽 
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快 且 开销 尽 可 能 小 地 到 达 另 一 个 站 点 中 的 CF。 

除了 分 散 计 算 资 源 〈 例 如 ， 成 员 和 CF) 之 外 ,灾难 恢复 (DR) 集群 配置 还 要 求 在 
站 点 之 间 复 制 存 储 器 。 构 建 在 标准 DB2 pureScale 集群 设计 上 时 ，GDPC 配置 在 站 点 之 
间 使 用 GPFS 同步 复制 ， 以 使 所 有 磁盘 活动 在 集群 中 处 于 最 新 的 状态 ， 这 包括 表 空 间 写 
操作 和 事务 日 志 写 操作 。 


23.3.5 数据 库容 灾 技 术 实 践 


A 行 现 有 业务 系统 大 部 分 使 用 了 DB2 数据 库 ， 对 关于 如 何 基于 数据 库 主 机 构建 双 
活 架 构 也 进行 研究 和 落地 实践 ，HADR 技术 在 快速 的 灾难 恢复 能 力 上 和 降低 灾 备 投资 上 
都 有 一 定 的 优势 。 对 于 使 用 基于 数据 库 复 制 技术 实现 异地 容 灾 ，A 行 科技 开发 部 根据 现 
实情 况 及 监管 要 求 对 容 灾 体系 的 建设 提出 以 下 需求 : 数据 一 致 性 需求 、 系 统 高 可 用 性 需 
求 、 系 统 性 能 需求 、 系 统 健壮 性 需求 、 管 理 监 控 需 求 。 

基于 以 上 的 需求 ，A 行 科 技 开 发 部 对 DB2 数据 库 的 HADR 数据 复制 技术 进行 了 反 
复 的 实践 与 验证 ， 并 逐步 总 结 了 关于 该 技术 在 实际 大 型 生产 系统 的 落地 实践 经 验 。 

技术 实现 分 析 表 明 ，HADR 是 DB2 中 高 可 用 性 和 灾难 恢复 的 解决 方案 。 通 过 该 解决 方 
案 ， 用 户 可 以 为 实际 生产 系统 的 数据 库 设 置 一 个 备用 数据 库 ， 前 者 称 为 主 数据 库 ， 后 者 称 为 
备 机 数据 库 。 主 数据 库 上 的 数据 更 改 通 过 数据 库 日 志 传 送 到 备 机 数据 库 上 ， 备 机 数据 库 通过 
重 做 这 些 日 志 完 成 与 主 数据 库 上 相同 的 数据 更 改 ， 从 而 使 两 者 的 数据 保持 一 致 。 在 主 数据 库 
发 生 故 障 时 ， 用 户 可 以 在 备 机 数据 库 上 通过 接管 HADR 命令 使 备 机 数据 库 成 为 新 主 数 据 库 ， 
业务 应 用 可 以 运行 在 新 主 数据 库 之 上 ， 从 而 使 数据 库 服务 恢复 。 

根据 该 技术 在 A 行 的 落地 实践 ， 可 以 发 现 基于 数据 库 复 制 技术 实现 异地 灾 备 的 方 
案 ， 相 对 于 使 用 其 他 方式 的 方案 具有 以 下 明显 的 优势 : 快速 的 灾 备 切换 、 高 性 能 的 数据 
同步 、 灵 活 全 面 的 数据 保护 、 适 合 异 地 WAN 链 路 、 蜂 越 硬件 限制 、 有 效 利用 系统 资 
源 、 节 省 灾 备 投资 。 


23.3.6 灾 备 指挥 与 自动 化 切换 平台 实践 


为 适应 中 国 A 行 科技 开发 部 生产 运营 发 展 的 需要 ， 降 低 管理 员 的 大 量 低 效劳 动 ， 
减少 人 为 操作 失误 ， 实 现 运 维 工作 统一 、 规 范 和 流程 化 的 管理 。 在 前 期 业务 调研 和 论证 
的 基础 上 ， 启 动 灾 备 指 挥 与 自动 化 切换 平台 的 研究 与 实践 工作 ， 与 现 有 生产 系统 及 容 灾 
架构 有 效 整合 ， 实 现 同 城 灾 备 系统 一 键 式 切换 。 通 过 灾 备 指挥 与 自动 化 切换 平台 建设 主 
要 解决 以 下 问题 : 

< 手工 切换 任务 烦琐 ， 涉 及 不 同 岗位 人 员 ， 组 织 、 调 度 耗 时 较 多 ， 影 响 实现 演练 
的 RTO 目标 。 

信 手工 执行 切换 命令 ， 操 作风 险 较 高 ， 影 响 切 换 成 功率 。 

<> 切换 操作 效果 一 定 程 度 上 依赖 命令 执行 人 员 对 系统 的 熟悉 程度 。 
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< 预案 和 操作 手册 编写 手工 管理 ， 管 理 成 本 较 高 。 

综 上 所 述 ， 从 科技 开发 部 生产 运营 工作 的 实际 情况 出 发 ， 建 立 灾 备 指挥 与 自动 化 切 

平台 ， 实 现 灾 备 切换 的 自动 化 ， 缩 短 灾 备 切换 时 间 ， 满 足 灾 备 中 心 所 有 系统 、 网 络 设 
备 和 存储 设备 等 自动 化 切换 ， 保 证 灾难 情况 下 可 以 实现 灾 备 切换 自动 化 。 

1. 平台 架构 设计 

灾 备 指挥 及 自动 化 切换 染 构 设计 如 图 23-11 所 示 。 


灾 备 切换 指挥 平台 运 维 自动 化 平台 


灾 备 中 心 自动 丰产 中 心 自动 
灾 备 切换 指 化 引擎 组 件 OO 化 引擎 组 件 00 
挥 平台 


数据 库 服务 
器 


务 器 设备 


图 23-11 灾 备 指挥 及 自动 化 切换 架构 设计 图 


灾 备 指挥 与 自动 化 切换 平台 整体 架构 包含 四 大 组 件 模块 ,分 别 是 灾 备 切换 指挥 平 
合 、 自 动 化 引擎 组 件 00 、 服 务 器 自动 化 组 件 SA、 网 络 自 动 化 组 件 NA。 

2. 灾 备 切换 指挥 平台 

主要 功能 是 将 传统 的 以 表格 及 静态 演练 流程 图 形式 记录 发 布 管理 整个 演练 流程 ， 转 
化 为 通过 系统 预 设 演练 流程 动态 交互 管理 整个 灾难 恢复 过 程 ， 实 现 灾难 恢复 演练 的 工具 
化 管理 ， 大 大 提升 演练 步骤 开发 、 管 理 和 变更 的 效率 ， 让 系统 恢复 、 容 灾 演 练 更 具有 可 
控 性 和 可 操作 性 。 整 体系 统 从 功能 上 分 为 需要 包含 灾难 恢复 组 织 及 人 员 信 息 管 理 功能 、 
权限 设置 功能 、 工 作 台 功能 、 流 程 录 入 功能 、 流 程 执行 功能 、 恢 复 进度 展示 功能 、 日 志 
记录 功能 、 导 和 导出 功能 、 公 告 管理 功能 、DRP 电子 化 管理 功能 、 系 统管 理 功 能 等 功 
能 模块 。 

3. 自动 化 引擎 组 件 OO 

负责 灾 备 切换 自动 化 流程 定制 ， 调 度 和 与 外 部 系统 的 集成 。 灾 备 自动 化 切换 流程 开 
发 统一 由 00 实现 ， 并 实现 与 灾 备 切换 指挥 平台 无 颖 集成 。 

4. 服务 器 自动 化 引擎 组 件 SA 

负责 服务 器 运 维 自动 化 的 具体 功能 实现 ， 可 以 管理 各 种 类 型 的 服务 器 如 AIX、HP- 
UX、Windows、Linux 等 。 
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5. 网 络 服 自动 化 引擎 组 件 NA 

负责 网 络 运 维 自动 化 的 具体 功能 实现 ， 可 以 管理 各 种 网 络 设备 如 交换 机 、 路 由 器 、 
防火 墙 等 。 

6. 高 可 用 架构 

确保 灾 备 指挥 与 自动 化 切换 平台 高 可 用 性 。 


23.3.7 同城 双 中 心 一 体 化 运 维 管理 体系 实践 


灾 备 中 心 的 建设 是 与 本 地 数据 中 心 紧密 结合 的 ， 特 别 是 为 了 提升 灾 备 中 心 的 利用 
率 ， 运 维 团 队 更 倾向 于 建设 双 活 的 灾 备 中 心 ， 这 使 得 一 体 化 运 维 体系 成 为 必然 选择 。 灾 
备 建设 中 应 该 考虑 到 灾 备 中 心 对 现 有 运 维 组 织 架 构 、 流 程 制度 等 的 需求 ， 基 于 一 体 化 运 
维 体系 来 保持 整个 生产 系统 的 一 臻 性、 可 维护 性 ， 确 保 容 灾 机 制 快速 生效 。 一 体 化 运 维 
体系 一 方面 可 以 确保 主 备 环 境 一 臻 性， 特别 是 确保 变更 在 主 备 环境 下 均 得 到 有 效 实施 和 
验证 ， 男 一 方面 则 为 容 灾 提 供 人 员 技 术 保 障 ， 确 保 运 维 人 员 熟 悉 主 备 环境 和 操作 规范 ， 
及 时 快速 地 进行 容 灾 操作 。 

1. 运 维 管理 组 织 需 求 分 析 

运 维 管理 体系 一 直 是 银行 业 信息 科技 的 基础 ， 监 管 部 门 非常 重视 信息 科技 的 稳定 运 
行 ， 行业 标准 也 较为 成 熟 。 建 设 一 体 化 运 维 体系 ,可 以 参照 监管 机 构 要 求 ， 如 《银行 
业 信 息 科 技 风 险 指引 》《 商 业 银 行 数据 中 心 监管 指引 》《 商 业 银行 业务 连续 性 监管 指引 》 
等 监管 指引 和 行业 标准 ITIL、ISO/IEC 20000 、ISOZIEC 27001 、ISO/IEC 9001 、COBIT。 
结合 当前 各 行 的 实际 情况 ,在 建设 灾 备 体系 时 ， 往 往 都 已 经 建立 了 较为 完善 的 数据 中 心 
管理 体系 ， 灾 备 中 心 建 成 后 可 以 融入 现 有 的 体系 中 。 通 过 对 现 有 体系 补充 完善 ， 实 现 涵 
盖 两 地 三 中 心 的 一 体 化 运 维 。 

A 行 灾 备 体系 建成 后 ， 即 将 灾 备 环境 信息 技术 对 象 作为 当前 生产 环境 运 维 管理 的 信 
息 技 术 对 象 的 扩展 ， 由 生产 环境 运 维 组 织 支 撑 同 城 灾 备 中 心 的 运 维 ， 暂 不 设立 独立 的 灾 
备 运 维 组 织 和 岗位 ， 只 需 更 改 生产 环境 运 维 与 管理 岗位 的 职责 范围 。 如 此 ， 即 节省 运 维 
费用 ， 又 能 平滑 顺利 地 实现 灾 备 系统 的 运 维 。 

2. 一 体 化 运 维 管理 体系 建设 

一 体 化 运 维 管理 体系 重点 完善 两 个 方面 ， 一 方面 是 故障 发 生 时 的 应 急 机 制 ， 要 充分 
考虑 到 容 灾 应 急 预 案 的 执行 ， 应 该 完善 应 急 值 班 、 应 急 预 案 文档 ， 确 保 人 员 及 时 到 位 ， 
并 采取 有 效 措施 ; 另 一 方面 则 是 加 强 变更 管理 ， 确 保 配置 一 致 性 ， 保 障 容 灾 环 境 的 
有 效 。 

3. 一 体 化 监控 管理 体系 建设 

目前 各 商业 银行 数据 中 心 普遍 建立 了 完善 的 监控 体系 ，A 行 目前 的 监控 体系 主要 包 
括 机 房 设施 监控 、 网 络 监 控 、 网 络 流量 分 析 平 台 、 系 统 监 控 平 台 、 交 易 性 能 监控 平台 
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等 。 灾 难 发 生 时 ， 备 用 数据 中 心 的 监控 对 于 保障 正常 生产 至 关 重要 。 因 此 在 同城 双 中 心 
建设 过 程 中 需要 考虑 关键 监控 工具 在 同城 双 中 心 架构 下 的 部 署 及 容 灾 设计 。 

1) 同城 双 中 心 基础 环境 、 网 络 和 系统 平台 监控 管理 解决 方案 。 同 城 双 中 心 监 控 管 
理 体 系 首先 考虑 正常 运行 情况 下 的 监控 有 效 性 ， 在 成 本 许可 的 范围 内 ， 对 于 灾难 场景 
采用 监控 服务 器 热 备 等 方式 进行 灾难 场景 下 的 监控 管理 连续 性 。 

针对 机 房 设施 监控 ， 各 数据 中 心 采 取 独 立 部 署 方式 ， 能 够 独立 运行 ， 并 且 在 灾难 发 
生 场 景 下 ， 可 用 数据 中 心 的 机 房 设施 监控 不 受 影响 。 

网 络 监 控 和 系统 监控 平台 目前 为 全 国 集中 的 监控 方式 ， 采 用 了 多 级 部 署 ， 告 警 传输 
双 通 道 的 设计 ， 在 同城 双 中 心 的 架构 下 ,采取 监控 服务 器 双 中 心 采 取 热 备 匈 余部 署 方 
式 。 正 常情 况 下 ， 监 控 采 集 机 将 告警 及 性 能 数据 传递 到 主 数据 中 心 ， 灾 难 发 生 时 ， 启 用 
备 数 据 中 心 的 监控 服务 器 ， 继 续 接收 各 分 布 式 采 集 机 上 传 的 告警 事件 和 性 能 数据 ， 确 保 
灾难 情况 下 的 持续 监控 。 图 23-12 为 系统 集中 监控 平台 的 一 个 实现 架构 。 


监控 数据 监控 数据 
来 


图 23-12 ”系统 集中 监控 平台 实现 架构 图 


目前 同城 双 中 心 部 分 应 用 采取 双 活 模式 ， 日 常 监控 中 需要 同时 监控 和 处 理 双 中 心 的 
告警 事件 ， 而 应 用 系统 采取 导 辑 分 组 的 方式 ， 区 分 生产 系统 和 同城 灾 备 系统 的 告警 。 分 
组 界面 上 的 分 组 呈现 ， 如 图 23-13 所 示 。 

2) 同城 双 中 心 交 易 性 能 监控 系统 解决 方案 。 交 易 性 能 监控 系统 ，A 行 是 采取 网 络 
旁 路 复制 流量 加 交易 协议 解析 的 方式 实现 的 。 基 本 架构 如 图 23-14 所 示 ， 包 括 流量 汇聚 
层 和 业务 可 视 化 分 析 平 台 两 个 主要 部 分 ， 将 告警 事件 上 传 至 集中 监控 平台 处 理 。 

在 每 个 数据 中 心 部 署 多 台 流 量 汇聚 设备 ， 对 多 个 机 房 、 多 个 监控 点 的 流量 进行 采 
集 和 汇聚 ， 对 流量 进行 分 析 、 过 滤 处 理 后 ， 按 照 一 定 的 原则 和 要 求 ， 将 过 滤 处 理 后 
的 “干净 的 ”流量 输送 给 业务 可 视 化 监控 分 析 平 台 和 交易 性 能 监控 平台 进行 分 析 
处 理 。 
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~ 如 ”同城 灾 备 系 统 
0 NPS 系 统 
Ee 如 | PE 系统 
a 已) PI| 亲 统 


| 所 xBank2.0 系 六 面 | 
Ey 已 ) 安保 基础 服务 平台 
ee 已 ) 更 全 管理 系统 , 


六 | 用 户 安全 平台 xBank2.0 系 统 大 小 额 支付 各 8 


已 ) 验 印 系统 


而 a 
BPPF 系 统 安保 基础 服务 平 癌 


-网 竺 上线 系 统 


i ”BPP 系统 


… 刀 /安保 基础 服 菇 平台 

CP8 素 # 

了 晤 后 发 生 时 间 © 此 村 标题 首次 发 生 
… 世 | 网银 互 联系 统 更 早 


图 23-13 分 组 界面 图 


23. 3.8 信息 技术 服务 连续 性 管理 体系 建设 实践 


(1) 体系 建设 的 内 容 为 了 确保 灾 备 体系 随时 就 绪 ,， 在 A 行 灾 备 实施 过 程 中 ， 制 


定 了 信息 技术 服务 连续 性 管理 体系 建设 方案 ， 并 ee 
对 之 进行 了 实践 。 内 容 如 下 : 
1) 定义 了 信息 技术 服务 连续 性 管理 的 宗旨 。 
2) 定义 了 信息 技术 服务 连续 性 管理 体系 相关 


3) 定义 了 信息 技术 服务 连续 性 管理 的 基本 


原则 。 多 中 心 基础 网 络 层 


4) 定义 了 信息 技术 服务 连续 性 管理 参照 的 


图 23-14 ”基本 构架 图 


5) 定义 了 信息 技术 服务 连续 性 管理 体系 组 织 架构 及 职责 分 工 。 
6) 制定 了 信息 技术 服务 连续 性 风险 评估 管理 办 法 。 

7) 制定 了 业务 影响 分 析 管 理 办 法 。 

8) 制定 了 灾难 恢复 策略 开发 管理 办 法 。 

9) 制定 了 灾 备 方案 规划 设计 、 实 施 与 交付 管理 办 法 。 

10) 制定 了 灾难 恢复 预案 开发 及 更 新 管理 办 法 。 

11) 制定 了 灾 备 演练 管理 办 法 。 

12) 制定 了 灾 备 系统 测试 验证 与 优化 管理 办 法 。 

13) 制定 了 应 急 处 置 管理 办 法 。 

14) 制定 了 业务 连续 性 培训 管理 办 法 。 

15) 定义 了 信息 技术 服务 连续 性 管理 岗位 的 日 常 监测 规程 。 
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16) 定义 了 信息 技术 服务 连续 性 管理 岗位 的 自我 评 佑 规程 。 

(2) 体系 建设 的 收益 “一 般 大 型 商业 银行 的 信息 技术 系统 每 天 处 理 着 几 亿 笔 金 融 
交易 ， 瞬 间 交 易 的 丢失 可 能 带 来 不 可 估量 的 资金 损失 和 业务 风险 。 实 施 双 活 数据 中 心 模 
式 后 ， 利 用 站 点 双 活 切换 机 制 ， 可 以 缩减 占 全 年 停机 时 间 95% 的 计划 内 停机 时 间 ， 保 
障 了 银行 金融 交易 对 账 务 数据 有 着 严格 的 实时 性 、 准 确 性 及 事务 完整 性 的 要 求 ， 并 且 带 
来 以 下 收益 : 

1) 高 效率 : es 缩短 灾 备 切换 时 间 。 核 心 应 用 系统 灾 备 切换 
模拟 演练 比 人 工 操作 至 少 提高 5 倍 。 

2) 可 视 化 : 灾 备 指挥 与 自动 化 切换 平台 ， 自 动 化 流程 执行 可 视 化 和 可 跟踪 ， 有 蜡 
常 可 以 及 时 处 理 ， 提 升 用 户 体验 。 

3) 流程 化 : 流程 标准 化 减少 人 工 操作 风险 ， 规 范 切 换 操 作 流程 。 预 案 和 操作 手册 
编写 手工 管理 通过 灾 备 指挥 与 自动 化 切换 平台 实现 ， 大 大 降低 管理 成 本 。 
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银行 业 信息 科技 风险 管理 高 层 指导 委员 
会 〈 简称 高 层 指 导 委 员 会 ) 是 由 银监会 
起 ，20 家 主要 银行 业 金融 机 构 自 愿 参与 建立 
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银行 业 信息 科技 核心 竞争 力 和 自主 创新 能 
力 ， 提 升 银 行业 信息 化 建设 和 信息 科技 风险 
管理 整体 水 平 ， 推 动 银行 业 信息 科技 持续 、 
健康 发 展 ， 维 护 金融 稳定 和 国家 安全 。 高 层 
指导 委员 会 的 主要 任务 是 对 银行 业 信息 化 建 
设 与 信息 科技 风险 管理 工作 进行 研究 、 指 导 
并 提供 咨询 、 建 议 ， 研 究 银 行业 信息 化 建设 
重大 发 展 问题 ， 深 入 传导 贯彻 信息 科技 监管 
政策 ， 开 展 专业 指导 和 风险 分 析 ， 开 展 信息 
科技 课题 研究 ， 推 动 银行 业 信 息 科技 领域 新 
兴 技 术 研 究 ， 促 进 银行 业 信息 科技 领域 的 交 
流 合 作 。 高 层 指 导 委 员 会 自 2011 年 成 立 以 
来 ， 建 立 了 风险 分 析 、 课 题 研究 、 专 业 指导 
等 常态 化 工作 机 制 ， 编 制 了 《金融 科技 治理 
与 研究 》 期 刊 ， 组 织 开 展 了 近 300 项 课题 研 
究 ， 组 织 银行 业 金融 机 构 协 同 开展 安全 可 
控 、 自 主创 新 能 力 建设 ， 为 银行 业 信息 科技 
领域 的 经 验 交 流 、 知 识 分 享 和 资源 互补 提供 
了 有 效 的 平台 。 
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